Web zprávy

eObčanka není dostatečně zabezpečena. Hrozí krádeže identit

Na nebezpečí upozornili experti na kybernetickou bezpečnost ze společností Auxilium Cyber Security a WardenSec. Předpokladem krádeže identity je rozšíření jednoduchého počítačového viru, který tito odborníci představili na konferenci QuBIT Prague 2020.

 „Systém přihlašování pomocí eObčanek je vystaven riziku potenciální virové kampaně, která bude cílit na hromadné krádeže identit osob využívajících eObčanky,“ sdělil deníku E15 Martin Pozděna, šéf firmy Auxilium Cyber Security. Ta o nedostatečném zabezpečení už dříve informovala jak Národní úřad pro kybernetickou a informační bezpečnost, tak ministerstvo vnitra, které portál provozuje.

Základy kyberbezpečnosti. Zjistěte, zda dokážete odhalit podvodné e-maily

Portál občana dnes umožňuje například elektronickou komunikaci s Českou správou sociálního zabezpečení, jejímž prostřednictvím může živnostník informovat i o svých příjmech a výdajích. Přes eObčanku lze také vyzvednout eRecept, dostat se do datové schránky, katastru nemovitostí a v budoucnu lze očekávat také rozšíření využití pro daňové přiznání či elektronické volby. Motivací spojených s krádeží identity je proto celá řada.

Národní úřad pro kybernetickou a informační bezpečnost nechce problém příliš komentovat, pouze doporučuje, aby se uživatelé přihlašovali z důvěryhodného zařízení a na důvěryhodném připojení k internetu. „Využívání sdílených počítačů nebo veřejných WiFi sítí k těmto účelům jednoznačně nedoporučujeme,“ varuje mluvčí úřadu Jiří Táborský.

Ministerstvo vnitra bylo sdílnější. „Tým realizující elektronickou identifikaci eObčankou reaguje na každý podnět uživatelů, a zejména pak na podněty týkající se bezpečnosti řešení. Popisovaný útok je už v tuto chvíli ošetřen tím, že se v prohlížeči zobrazuje jedinečný kód přihlášení, pomocí něhož lze zkontrolovat, že je přihlášení bezpečné,“ říká mluvčí rezortu Ondřej Krátoška, podle něhož tak bezpečnost řeší i bankovní systémy. 

České firmy jsou v digitalizaci 14 let pozadu, ukázal průzkum společnosti Soitron

„Firma, která zjistila uvedenou zranitelnost, toto řešení sama uvedla jako možnou obranu proti uvedenému útoku. Další možná řešení v tuto chvíli analyzujeme a připravujeme jejich implementaci,“ doplnil Krátoška.

Popisovaná změna je však podle výzkumníků nedostatečná. „Navrhli jsme celkem pět řešení s tím, že nejlepší by bylo přijmout všechny. Vnitro provedlo jen jedinou úpravu, a navíc nedostatečně,“ reaguje na vyjádření ministerstva Pozděna.

Ztrátu tisíců bitcoinů beru jako školné, říká expert na kyberbezpečnost a šéf SatoshiLabs Marek Palatinus

Jedinečný kód přihlášení, který může být virem napaden a změněn, se sice nyní zobrazuje, ale aby nová ochrana fungovala, uživatel musí kód porovnat mezi dvěma přihlašovacími okny, upozorňuje Pozděna. „Jakékoli doporučení, že by uživatel měl kontrolu provádět, přitom na stránkách chybí. Běžného člověka proto ani nenapadne, že by takový krok měl udělat,“ dodal Pozděna s tím, že vyšší bezpečnost by mohlo zajistit například přidání druhého přihlašovacího faktoru, třeba povinné zadání SMS kódu.

S kritikou systému souhlasí expert na kybernetickou bezpečnost Martin Leskovjan ze společnosti Citadelo. Takto významný portál plný citlivých dat by podle něho měl mít mnohem vyšší stupeň ochrany. „Podoba zranitelnosti přitom poukazuje na celkově nevhodný přístup k architektuře řešení přihlašování uživatele. Zobrazení jedinečného kódu přihlášení je sice správným krokem, nicméně systém by potřeboval i zmíněné dvoufaktorové ověření či například automatickou detekci podezřelých aktivit,“ míní Leskovjan s tím, že dosavadní opravy jsou stále nedostatečné.



Také přečtěte

U jaderné elektrárny v Dukovanech boxovali dva ušáci

Podle odborníků nejsou zaječí souboje v této době ojedinělé. „Samci v přírodě bojují v podstatě o …

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *