Language switcher

Вы здесь

RIA вместе с партнерами исправил критическую ошибку в расширении браузера для ID-карты

В конце января Департамент государственной инфосистемы (RIA) обновил расширение браузера для ID-карты (плагин), чтобы исправить критическую ошибку, которую помогли обнаружить ученые Тартуского университета. Программное обеспечение для ID-карты (ID-Updater) сообщает пользователям о необходимости обновления. Если программное обеспечение еще не выдает сообщения об автоматическом обновлении, то новую версию можно загрузить здесь.

В декабре партнерское учреждение RIA сообщило об уязвимости в плагине веб-браузера, то есть в программе, которая используется для проставления цифровой подписи в э-услуге с помощь ID-карты в веб-браузерах Chrome, FireFox, Safari, Internet Exploreri Edge и Edge Chromium.

Злоумышленник мог бы воспользоваться уязвимостью плагина, если бы получил или имел контроль над сайтом, где можно аутентифицироваться с ID-картой. Если пользователь входит с ID-картой на портал, находящийся под контролем злоумышленника, то последний мог бы воспользоваться информацией по процедуре аутентификации, чтобы войти в ту или иную э-услугу от имени пользователя, и пользователь не знал бы об этом.

«Насколько известно RIA, данной уязвимостью никто не воспользовался, согласно имеющейся на сегодняшний день информации ни один пользователь не пострадал. Ошибка в системе безопасности устранена, и пользователи не должны беспокоиться», – сказал руководитель отдела электронной идентификации Марк Эрлих. «Уязвимость не была такой, на которую злоумышленники могли бы легко наткнуться, для ее обнаружения пришлось бы приложить достаточно усилий, и теоретически для использования данных в корыстных целях требовалось также иметь контроль над сайтом, где можно аутентифицироваться с ID-картой», – уточнил Эрлих.

«К сожалению, в цифровом мире является довольно обычным явлением, что время от времени обнаруживаются уязвимости в системе безопасности, которые все же быстро исправляются. Ни одно решение не сохраняется безопасным просто так, их следует постоянно обновлять и проверять. RIA, наши партнеры в публичном и частном секторе и ученые постоянно занимаются выявление уязвимых мест в системе безопасности и их устранением, чтобы идти в ногу с новыми приемами хакеров», – добавил Эрлих.

По его словам, силу э-государства и хорошее сотрудничество с обществом ярко иллюстрирует тот факт, что ведется постоянная проверка безопасности решений eID. «Если обнаруживается уязвимость, то о ней немедленно сообщается. Таким образом, государство может сразу же отреагировать и устранить уязвимость. Большое спасибо партнерам и ученым, которые обнаружили уязвимость до злонамеренных действий и сообщили о ней», – сказал Эрлих.

После обновления расширения браузера поставщики некоторых э-услуг должны произвести изменения в своих системах. Это означает, что до тех пор, пока в э-услугу не будут внесены свежие обновления, в нее нельзя будет войти с ID-картой. «Насколько нам известно, таких услуг мало. Таким образом, это не сильно повлияло на интернет-привычки людей», – заметил Эрлих. Крупные поставщики э-услуг на сегодняшний день произвели необходимые изменения, поэтому использование ID-карты в этих услугах не нарушено.
 

Сейко Куйк
пресс-секретарь RIA
5851 7028
seiko.kuik [at] ria.ee

More news on the same subject

10.02.2021

С 1 марта в некоторые государственные э-услуги будет нельзя войти по банковской ссылке

10.02.2021 – С 1 марта Департамент государственной инфосистемы (RIA) закрывает вход по банковской ссылке в государственной услуге аутентификации. Это означает, что в некоторые государственные э-услуги, например, в государственный портал пользователь больше не сможет войти через банк используя PIN-калькулятор, пароль или биометрию. По-прежнему можно будет войти в э-услуги с помощью ID-карты, Mobiil-ID или Smart-ID.

28.01.2021

Начиная с марта в некоторые государственные э-услуги нельзя будет войти по банковской ссылке

28.01.2021 – С 1 марта Департамент государственной инфосистемы (RIA) закрывает вход по банковской ссылке в государственной услуге аутентификации. Это означает, что в некоторые государственные э-услуги, например, в государственный портал или самообслуживание Департамента транспорта и PRIA пользователь больше не сможет войти через банк (используя PIN-калькулятор, пароль или биометрию). По-прежнему можно будет войти в э-услуги с помощью ID-карты, Mobiil-ID или Smart-ID.