Megszemélyesítésre adott módot a német e-személyivel történő webes autentikáció hibája

Biztonsági kutatók sérülékenységet tártak fel egy német állami portálok által elektronikus személyi igazolvánnyal történő webes bejelentkezések kezelését végző szoftver komponensben (Governikus Autent SDK); a biztonsági hiba kihasználásával lehetőség nyílt más állampolgárok nevében történő bejelentkezésre az érintett site-okon. A problémát csak most nyilvánosságra hozó SEC Consult azt már 2018 júliusában felfedezte, a detektálást követően pedig azonnal értesítette a CERT-Bundot, a gyártói hibajavítás így már augusztusban megtörtént. Az esetről tudósító ZDNet hivatalos megkeresés útján igényelt információt a német Szövetségi Informatikai Biztonsági Hivataltól (BSI) azzal kapcsolatban, hogy a német kormányzati portálokon telepítették-e a hibajavítást, illetve, hogy az érintett weboldalak autentikációs naplóbejegyzéseit átvizsgálták-e a szóban forgó sérülékenység kihasználásának nyomai után kutatva.