Известно, что сертификат проверки электронной цифровой подписи (ЭЦП) включает в себя множество конфиденциальной информации о человеке: его ФИО, ОГРН, СНИЛС, адрес электронной почты, домашний адрес (если это ИП). Эксперты компании «Инфосекьюрити» указали на проблемы в безопасности этих личных данных.
В своём Telegram-канале компания «Инфосекьюрити» рассказала, что в стандартных условиях эта личная информация о человеке доступна только удостоверяющему центру. Но что надо сделать, если необходимо проверить, является ли сертификат действительным? Здесь всё зависит от подхода, который реализует удостоверяющий центр.
Правильный подход в этом случае – обработка запросов на проверку серийного номера сертификата.
Неправильный подход – размещение в открытом доступе всех выданных удостоверяющим центром сертификатов, в том числе и сертификатов с истекшим сроком действия.
В компании «Инфосекьюрити» заявили, что второй (неправильный) подход используется несколькими российскими удостоверяющими центрами. В частности, центрами ГКУ ЛО «ОЭП» и ООО «АНК», на страницах которых в открытом доступе лежат тысячи сертификатов, которые содержат все персональные данные владельцев.
В случае с ООО «АНК» (около 3 000 сертификатов в открытом доступе) подобная ситуация объясняется неверной настройкой веб-сервера, приведшей к последующей индексации файлов.
А с ГКУ ЛО «ОЭП» всё ещё хуже (около 47 000 сертификатов в открытом доступе). Этот центр имеет целый реестр, в котором можно по имени или по организации искать нужные данные, а также скачивать сертификаты.
Если подобное случилось бы 10 лет назад, когда персональные данные мало кого интересовали, то сегодня это выглядит крайне неправильно. Для получения всех сертификатов не надо быть умелым хакером, как и для того, чтобы автоматически получить их них нужную информацию об ответственных лицах частных и госорганизаций.
В «Инфосекьюрити» также уточнили, что реестр сертификатов ГКУ ЛО «ОЭП» ранее уже был в публикациях, рассказывающих о безопасности личной информации в Интернете. Но центр до сих пор успешно работает, по сей день продолжая выдавать сертификаты.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
