Krytyczne luki w unijnym systemie. Pilna aktualizacja już dzisiaj

eIDAS to system elektronicznej identyfikacji oraz uwierzytelniania. Jest bardzo złożony, o czym świadczą m.in. zabezpieczenia kryptograficzne wykorzystywane do  zarządzania transakcjami elektronicznymi między państwami członkowskimi UE, obywatelami oraz przedsiębiorstwami.

W 2014 roku Unia Europejska utworzyła ten system, aby umożliwić zarówno podmiotom prywatnym jak i państwowym przeprowadzanie transgranicznych transakcji elektronicznych, które można zweryfikować na podstawie oficjalnych baz danych w dowolnym kraju.

Ze względu na kluczową rolę systemu wszelkie luki w oprogramowaniu eIDAS-Node mogą generować ogromne straty. Skutecznie wykorzystanie podatności przez hakerów może doprowadzić do manipulowania transakcjami w ramach Unii, takimi jak przelewy bankowe, płatność podatków czy odbiór zamówionych towarów.

Dwie krytyczne luki

W raporcie SEC Consult, udostępnionym wyłącznie na potrzeby serwisu ZDNet, eksperci wskazali na dwie krytyczne luki, które umożliwiają hakerom podszywanie się pod „dowolnego obywatela lub firmę UE”. Według specjalistów obecne wersje pakietu eIDAS-Node nie sprawdzają poprawności certyfikatów używanych w operacjach eIDAS, umożliwiając atakującym sfałszowanie certyfikatu innego obywatela lub firmy widniejącej w systemie.

„Przeprowadziliśmy symulację cyberataku w naszej konfiguracji za pomocą aplikacji dostarczonej przez Komisję Europejską. Dlatego należy się spodziewać, że podobny incydent będzie miał miejsce w rzeczywistości” – powiedział ekspert Wolfgang Ettlinger w wywiadzie dla ZDNet.

Unia Europejska zareagowała na alarmujące doniesienia specjalistów. Aktualizacja pakietu oprogramowania eIDAS-Node ma zostać wydana dzisiaj (v2.3.1) wraz ze specjalnym oświadczeniem wzywającym wszystkie państwa członkowskie do jej pobrania.