Profil Zaufany mógł posłużyć do składania fałszywych podpisów pod dokumentami

Jak donosi Niebezpiecznik, Profilem Zaufanym można było "fałszować" podpis pod dokumentami elektronicznymi.

Niestety, nie jest to pierwszy tego typu przypadek. Na początku ubiegłego tygodnia Niebezpiecznik opisał problem związany z usługą Podpisz dokument elektronicznie, stworzoną przez Ministerstwo Cyfryzacji. Jak się okazało, jeśli ktoś wykorzystał tę funkcję, można było z takiego podpisu poznać jego numer PESEL oraz numer konta Profilu Zaufanego. O ile w przypadku składania pism urzędowych jest to mniej niepokojące - można przyjąć, że wszystkie przekazywane takiej instytucji dane są bezpieczne - o tyle w ten sposób podpisywane są również dokumenty przesyłane do firm, a nawet osób prywatnych. Ponadto jeden z czytelników Niebezpieczenika doniósł o istnieniu sposobu na... sfałszowanie podpisu elektronicznego.

Źródło: Niebezpiecznik.pl

Źródło: Niebezpiecznik.pl

Otóż, jak czytamy na stronie Niebezpiecznika: "plik podpisany za pomocą usługi Moj.gov.pl przyjmuje postać pliku XML z pewnymi metadanymi. Mariusz Dalewski zauważył, że ktoś zapomniał o walidacji danych które pochodzą z tego XML’a, co otwiera drogę do użycia skryptu JS w celu zmiany stanu podpisu na poprawny."

Cała metoda podrobienia podpisu została pokazana na stronie Niebezpiecznika. Jak wskazał odkrywca problemu, może on prowadzić do różnego rodzaju ataków oraz wyłudzeń danych. Sprawa został już 14 kwietnie b.r. zgłoszona do CERT, jednak dopiero miesiąc później Mariusz Dalewski dostał odpowiedź z prośbą, o sprawdzenie, czy błąd nadal występuje. Jak się okazało - został on już naprawiony.

Źródło: Niebezpiecznik