Probijena njemačka digitalna osobna iskaznica

Haker je navodno otkrio sigurnosne rupe u mrežnim funkcijama novih njemačkih nacionalnih osobnih iskaznica, piše novinski časopis Der Spiegel.

Koristeći vlastiti softver umjesto službene vladine aplikacije AusweisApp, haker je uspio pristupiti podacima za prijavu za takozvanu eID funkciju njemačke osobne iskaznice, koja je namijenjena za omogućavanje njemačkim građanima da se sigurno identificiraju na internetu.

Savezni ured za informacijsku sigurnost (BSI) upoznat je s navodnom ranjivošću, potvrdila je u petak u Berlinu glasnogovornica Saveznog ministarstva unutarnjih poslova. Ona je rekla da se stvar "intenzivno istražuje".

Prema izvješću, ovo je aktivirano za više od 50 milijuna vlasnika osobnih iskaznica i služi kao osnova za digitalne administrativne postupke. Između ostalog služi i za identifikaciju u bankama.

Haker, koji nosi pseudonim "CtrlAlt", iskoristio je trik da otvori račun u velikoj njemačkoj banci pod tuđim imenom.

Glasnogovornik Chaos Computer Cluba (CCC), poznate njemačke hakerske i računalne sigurnosne grupe, potvrdio je za Der Spiegel da je haker razotkrio kritičnu točku u proceduri eID-a na mobilnim uređajima.

"Ovo je realan scenarij napada", rekao je glasnogovornik časopisu. "Mora se spriječiti da se aplikacija za identifikaciju koja nije službeno odobrena može registrirati i prijaviti na mobilni telefon radi autentifikacije eID-a."

Haker je već 31. prosinca obavijestio njemački Savezni ured za informacijsku sigurnost (BSI) o svojim otkrićima.

Agencija je za Der Spiegel rekla da ne vidi razloga za "mijenjanje procjene rizika za korištenje eID-a", jer se čini da ranjivost nije u samom sustavu eID-a, već u uređajima koje koriste potrošači.

Drugim riječima, kako bi uspješno manipulirao eID sustavom, haker bi trebao navesti svoju žrtvu da preuzme i instalira manipuliranu aplikaciju. Tek tada bi pristup bio moguć. Međutim, agencija je rekla da će još ispitati moguće prilagodbe sustava.