Onderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben lekken gevonden in een verzameling van protocollen voor het Duitse E-Governmentsysteem. Dat maakt onder meer communicatie tussen overheidsinstanties onderling en tussen de overheid en de burger mogelijk.
Het gaat om lekken in het zogenaamde OSCI, dat de basis vormt van het Duitse E-Governmentsysteem. De onderzoekers richtten zich op de Java-bibliotheek van OSCI. Daarin vonden zij verschillende kwetsbaarheden. Zo is het mogelijk om via aangepaste xml-gegevens data op het systeem van een doelwit te lezen of een dos-aanval uit te voeren. Daarnaast was het mogelijk om encryptie te kraken, doordat er gebruikgemaakt wordt van verouderde algoritmes.
Een ander lek maakte het mogelijk om de inhoud van een ondertekend bericht aan te passen, zonder dat de handtekening ongeldig wordt. Het bedrijf heeft onder meer samengewerkt met het Duitse BSI om de gevonden lekken te dichten. Er zijn inmiddels de nodige patches uitgebracht.
OSCI, oftewel online services computer interface, moet een 'veilig formaat voor de uitwisseling van gegevens bieden'. Volgens SEC Consult wordt het systeem gebruikt voor publieke zorg, de burgerlijke stand, documenten, personenregistratie en communicatie binnen Justitie. Het OSCI-protocol is gebaseerd op xml en wordt doorgaans over http-verbindingen verstuurd, aldus het bedrijf.