Turvauurijad avastasid Saksa ID-kaardi süsteemis vea, mis lubas ründajal veebiteenustesse sisse logides kehastuda teiseks inimeseks.
Viga ei ole mitte sakslate RFID-toe ja sõrmejäljeandmetega kaardis endas, vaid tarkvarakomponendis, mida kasutavad veebisaidid inimeste sisselogimiseks. Komponent Governikus Autent SDK on kasutusel nii erasektoris kui avaliku sektori portaalides. Selles oleva haavatavuse tõttu saavad ründajad võltsida eIDga autentimisel kodaniku identiteeti kellena nad sisse logivad.
Vea avastas kübeturbeettevõte SEC Consult, mis teavitas juba Saksamaa üleriiklikku CERTi. See omakorda aitas tarkvara tootjal Governikusel luua tänavu augustis veapaiga. Loe lähemalt siit.