Od pewnego czasu wiadomo, że logowanie do kilkunastu systemów rządowych, w tym do ZUS można było całkowicie ominąć – znając imię nazwisko i PESEL dowolnej osoby jako celu ataku. Szafir SDK - komponent programowy, używany do sprawdzania podpisu kwalifikowanego wskazywał, że podpis jest poprawny, nawet kiedy wystawca certyfikatu był nieznany. Informacja o certyfikacie była zwracana przez SDK, ale nikt jej nie sprawdzał.
Błąd na styku Szafir SDK i stron, które go używały, istniał prawdopodobnie od 2017r. Został zgłoszony do CERT przez p. Michała Leszczyńskiego, w styczniu b.r. Od zgłoszenia podatności do momentu naprawy / wyłączenia logowania e-podpisem mięło średnio 3 m-ce.
http://www.youtube.com/watch?v=pMdnS8I18Ts
http://zaufanatrzeciastrona.pl/post/podsumowanie-krytyczna-podatnosc-umozliwiajaca-calkowite-ominiecie-logowania-w-zus-ie-e-sadzie-i-systemach-e-zdrowia/
#itsecurity #panstwozdykty #cyfryzacja
Błąd na styku Szafir SDK i stron, które go używały, istniał prawdopodobnie od 2017r. Został zgłoszony do CERT przez p. Michała Leszczyńskiego, w styczniu b.r. Od zgłoszenia podatności do momentu naprawy / wyłączenia logowania e-podpisem mięło średnio 3 m-ce.
Ale komu to przeszkadzało
http://www.youtube.com/watch?v=pMdnS8I18Ts
http://zaufanatrzeciastrona.pl/post/podsumowanie-krytyczna-podatnosc-umozliwiajaca-calkowite-ominiecie-logowania-w-zus-ie-e-sadzie-i-systemach-e-zdrowia/
#itsecurity #panstwozdykty #cyfryzacja
