Эксперты указали на небезопасность данных людей, оформляющих ЭЦП

Дата: 16.11.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Эксперты указали на небезопасность данных людей, оформляющих ЭЦП

Известно, что сертификат проверки электронной цифровой подписи (ЭЦП) включает в себя множество конфиденциальной информации о человеке: его ФИО, ОГРН, СНИЛС, адрес электронной почты, домашний адрес (если это ИП). Эксперты компании «Инфосекьюрити» указали на проблемы в безопасности этих личных данных.

В своём Telegram-канале компания «Инфосекьюрити» рассказала, что в стандартных условиях эта личная информация о человеке доступна только удостоверяющему центру. Но что надо сделать, если необходимо проверить, является ли сертификат действительным? Здесь всё зависит от подхода, который реализует удостоверяющий центр.

Правильный подход в этом случае – обработка запросов на проверку серийного номера сертификата.

Неправильный подход – размещение в открытом доступе всех выданных удостоверяющим центром сертификатов, в том числе и сертификатов с истекшим сроком действия.

В компании «Инфосекьюрити» заявили, что второй (неправильный) подход используется несколькими российскими удостоверяющими центрами. В частности, центрами ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых в открытом доступе лежат тысячи сертификатов, которые содержат все персональные данные владельцев.

В случае с ООО «АНК» (около 3 000 сертификатов в открытом доступе) подобная ситуация объясняется неверной настройкой веб-сервера, приведшей к последующей индексации файлов.

А с ГКУ ЛО «ОЭП» всё ещё хуже (около 47 000 сертификатов в открытом доступе). Этот центр имеет целый реестр, в котором можно по имени или по организации искать нужные данные, а также скачивать сертификаты.

Если подобное случилось бы 10 лет назад, когда персональные данные мало кого интересовали, то сегодня это выглядит крайне неправильно. Для получения всех сертификатов не надо быть умелым хакером, как и для того, чтобы автоматически получить их них нужную информацию об ответственных лицах частных и госорганизаций.

Эксперты указали на небезопасность данных людей, оформляющих ЭЦП
Эксперты указали на небезопасность данных людей, оформляющих ЭЦП
Эксперты указали на небезопасность данных людей, оформляющих ЭЦП

В «Инфосекьюрити» также уточнили, что реестр сертификатов ГКУ ЛО «ОЭП» ранее уже был в публикациях, рассказывающих о безопасности личной информации в Интернете. Но центр до сих пор успешно работает, по сей день продолжая выдавать сертификаты.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *