De Europese Commissie heeft een kritiek lek gedicht in het elektronische identificatiesysteem eIDAS. Aanvallers konden het lek misbruiken om zich voor te doen als een Europese burger bij het uitvoeren van handelingen die via eID-applicaties worden geregeld.
De afkorting eIDAS staat voor 'electronic identification, authentication and trust services'. Het systeem is ingesteld naar aanleiding van een Europese verordening die bepaalt dat lidstaten onderling toegang moeten verlenen tot digitale diensten. Dat betreft bijvoorbeeld eID-middelen, waarmee burgers belastingaangifte kunnen doen of een bankrekening kunnen openen in andere Europese landen. Dat gebeurt via het draaien van een speciaal serversoftwarepakket genaamd eIDAS-Node. Overheidsinstanties draaien dat pakket op hun servers om eID-applicaties te ondersteunen.
Beveiligingsonderzoekers van SEC Consult hebben onlangs twee kwetsbaarheden in eIDAS-Node gevonden. Volgens de onderzoekers was het mogelijk om een certificaat te spoofen, doordat eIDAS-Node dat niet valideerde. Het spoofen kan al tijdens het opzetten van een verbinding met iedere willekeurige Node-server en is daarmee volgens de onderzoekers relatief eenvoudig in te zetten als aanval. Door het lek uit te buiten, was het mogelijk voor een aanvaller om zich voor te doen als een EU-burger en op die manier gebruik te maken van de applicaties die door eID worden ondersteund.
De kwetsbaarheden zijn inmiddels opgelost, zeggen de onderzoekers tegen ZDNet. Dat gebeurde nadat zij hun bevindingen hadden gedeeld met de Europese Commissie. Die brengt vandaag versie 2.3.1 van eIDAS-Node uit, inclusief een waarschuwing aan lidstaten om de software te updaten.
/i/2004838090.png?f=fpa)
/i/1212175022.png?f=fpa)
/i/1241724688.png?f=fpa)
/i/2001714923.png?f=fpa)
:strip_exif()/u/220687/crop5d318d86e9a73.gif?f=community){kind=small}
/u/99529/crop5db493c811c0d_cropped.png?f=community){kind=small}
/u/272509/60x60-Project.png?f=community){kind=small}