Эстония потребовала возмещения ущерба за уязвимые ID-карты

Эстония потребовала возмещения ущерба за уязвимые ID-карты

Эстония потребовала возмещения ущерба за уязвимые ID-карты

Эстония в начале сентябре потребовала от производителя ID-карт Gemalto компенсации ущерба из-за выявленной уязвимости чипов, в результате чего были приостановлены сертификаты примерно 760 000 карт. Департамент полиции и погранохраны (PPA) не раскрывает сумму компенсации.

"Государство выступило с требованием о компенсации в отношении Gemalto. Этой темой занимаются юристы, когда наступит большая ясность, можно будет обсуждать ее подробнее", – сказала журналистам глава бюро отдела по развитию PPA Маргит Ратник. По словам Ратник, требование было выдвинуто еще в начале сентября.

Ратник не стала подробнее комментировать содержание требования, но отметила, что государство подсчитало ущерб и в соответствии с этой суммой представило требование.

"Я должна сказать, что размер ущерба станет известен после обновления последней карты. Каждая из этих карт приводит к затратам для государства", – добавила она.

Около 200 ID-карт с обновленным сертификатом нуждались в замене. По состоянию на 14 ноября обновлено 232 000 ID-карт, 188 000 из них были обновлены пользователями самостоятельно и 44 000 в бюро обслуживания Департамента полиции и погранохраны, пишет rus.err.ee.

"Если посмотреть статистику, то обновление карт дистанционно значительно сократилось, а в бюро Департамента полиции и погранохраны в день обслуживается от 2500 до 3000 пользователей ID-карт", – сказала "Актуальной камере" руководитель бюро Департамента полиции и погранохраны Маргит Ратник.

Около 200 ID-карт с обновленным сертификатом за последнее время были заблокированы и нуждались в замене. Дело в том, что после обновления сертификата стоит убедиться, что операционная система компьютера поддерживает новый сертификат, иначе карта заблокируется. Для ее восстановления нужно обратиться в бюро обслуживания Департамента полиции и погранохраны.

"Мы уже нашли решение этой проблемы, оно сейчас тестируется. И с релизом следующей версии, после загрузки, проблем больше не должно быть", – сказал директор e-ID Департамента государственной инфосистемы Маргус Арм.

Маргус Арм также добавил, что критическое время уже прошло, так как 90% тех, кто пользуется ID-картой ежедневно, уже обновили сертификаты. Однако, он всё же советует тем, кто пользуется картой хотя бы два раза в год, обновить ее в течение ближайших месяцев.

Поздним вечером 3 ноября государство приостановило действия сертификатов примерно 760 000 ID-карт. Все ID-карты с необновленными сертификаты будут по-прежнему действительны в качестве удостоверения личности. ID-карты с приостановленными сертификатами по-прежнему можно обновить в бюро обслуживания PPA и дистанционно. Сертификаты можно обновлять до 31 марта.

Риск касается примерно 800 000 ID-карт, в том числе digi-ID, карт э-резидентов и карт вида на жительство. Риск не касается mobiil-ID и выданных до октября 2014 года карт.

В начале сентября правительство, RIA и PPA сообщили, что чешские ученые выявили риск безопасности ID-карты. Насколько известно на данный момент, риск не реализовался в отношении ни одной конкретной карты. На данный момент закрыта база данных публичных ключей ID-карты, поскольку без публичного ключа этим риском воспользоваться невозможно.

 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники атакуют медиков и педагогов через фейковые рабочие чаты

Управление по организации борьбы с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) предупреждает о массовой волне атак, направленных на сотрудников различных организаций — преимущественно из сфер образования и здравоохранения.

Как сообщается в официальном телеграм-канале «Вестник киберполиции России», целью этих атак является получение кодов авторизации от различных сервисов.

Особое внимание злоумышленников к работникам образовательных и медицинских учреждений в УБК МВД объясняют тем, что персональные данные сотрудников зачастую находятся в открытом доступе. Это позволяет легко подготовить персонализированную атаку.

Сценарий атаки включает несколько этапов. Сначала жертва получает приглашение вступить в групповой чат. В сообщении её обращаются по имени, упоминают место работы, а само приглашение якобы отправлено от имени знакомого коллеги. В чате уже находятся другие «сотрудники», что создаёт эффект достоверности.

Затем в чате появляется аккаунт, представляющийся руководителем. Он быстро даёт распоряжение пройти регистрацию в неком боте — якобы для служебных нужд — и обновить данные «в системе» либо подтвердить доступ к корпоративному ресурсу.

Для завершения регистрации требуется отправить код из СМС или пуш-уведомления. Эту практику поддерживают и «коллеги» в чате, которые делятся своими кодами. Всё это усиливает давление и побуждает жертву также отправить свой код.

УБК МВД напоминает: коды из СМС и пуш-уведомлений нельзя передавать третьим лицам — ни под каким предлогом.

По данным МВД, в 2024 году зарегистрировано более 100 тысяч случаев взлома учётных записей на портале Госуслуг. Как правило, через скомпрометированные аккаунты преступники оформляли микрозаймы от имени владельцев. Уровень раскрываемости подобных преступлений остаётся крайне низким.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru