Smart-ID та Mobile-ID - вразливість в електронних системах посвідчення особи призвела до витоку персональних та фінансових даних громадян
Smart-ID та Mobile-ID - вразливість в електронних системах посвідчення особи призвела до витоку персональних та фінансових даних громадян
В Естонії вразливість в електронних системах посвідчення особи Smart-ID та Mobile-ID призвела до витоку персональних та фінансових даних громадян. Як повідомляє видання Postimees, інцидент мав місце у лютому цього року.
Smart-ID використовується громадянами Естонії для доступу до банківських рахунків, а через них – до громадських електронних сервісів. Електронна система сплати податків e-Tax Board має навіть функцію швидкого доступу до програми. Для Smart-ID не потрібна спеціальна SIM-картка, а сам сервіс не використовує SMS-протоколи, тому ним можна користуватися в роумінгу.
Додаток розроблено та продається в Естонії та за кордоном компанією SK ID Solutions, яка також розробляє конкуруючий додаток Mobile-ID для Управління поліції та прикордонної охорони та відповідає за створення цифрових сертифікатів для ID-карток.
Лютневі атаки базувалися на звичці естонців використовувати Mobile-ID для доступу до послуг, не перевіряючи, хто запитує їх PIN1 або PIN2, а також чи збігаються коди перевірок в електронному сервісі і на екрані їх пристроїв. У цьому випадку зловмисники розіслали жертвам SMS-повідомлення нібито від одного з естонських банків із проханням оновити свою інформацію. У повідомленні містилося посилання на фішинговий сайт, дизайн якого було повністю скопійовано з офіційного сайту банку.
Фішинговий сайт запитував авторизацію за допомогою Mobile-ID, внаслідок чого у зловмисників у руках виявилися PIN1 та PIN2, а також особисті ідентифікаційні коди жертв. За допомогою кодів злочинці спромоглися від імені жертв створити підроблені облікові записи Smart-ID.
