Digitální identity se nyní vydávají po celém světě. Konečným cílem OSN je zahrnout pod ID celou populaci naší planety. Digitální identita, která již nezahrnuje jen základní údaje, ale také biometrická data a širší údaje o každém registrovaném jedinci (včetně propojení s bankou), je samozřejmě cenným zdrojem informací pro hackery, kteří by mohli příslušná data prodávat.
Například v Indii zaznamenali asi rok po zavedení digitálního ID pod názvem Aadhaar masivní hackerský útok, při němž byly odcizeny miliony údajů o zaregistrovaných občanech, včetně biometrických dat a přístupových údajů.
I přes opakované problémy s narušením centralizovaných databází digitálních identit se stále jejich zavádění prosazuje. A asi málokdo z těch, kdo si je pro „pohodlí“ zřídí, si uvědomuje, že časem budou tyto ID propojeny s digitální programovatelnou měnou.
S tím se ostatně již nyní počítá i ve Švédsku, kde nedávno digitální koruna prošla testovacím obdobím. Není tedy náhoda, že právě tam mají jeden z nejrozsáhlejších systémů ID na světě.
Švédsko si vybudovalo nejpropracovanější systém digitální identity na světě, který byl záhy hacknut.
Hackerská skupina, která si říká ByteToBreach, zveřejnila mezi napadenými systémy i zdrojový kód ukradený ze švédské divize CGI: kódovou základnu, která slouží k přihlášení k BankID pro švédský daňový úřad.
BankID je jediná ověřovací vrstva, kterou Švédové používají téměř pro všechno: vládní služby, bankovnictví, digitální podpisy a daňová podání.
Více než 8,6 milionu lidí v zemi, která má něco málo přes 10 milionů obyvatel, prožívá svůj digitální život skrze něj. To je národní závislost, jediný bod selhání maskovaný jako modernizace infrastruktury.
Napadená data se objevila na Breached, kde byla volně dostupná.
Novináři z Dagens Nyheter prozkoumali části uniklého materiálu a informovali o nalezení zdrojového kódu, hesel a šifrovacích klíčů. Prolomený kód byl o víkendu v rámci operace kybernetické bezpečnosti zablokován, což omezilo nezávislé ověřování.
Databáze obsahující osobní údaje švédských občanů a také dokumenty s elektronickými podpisy byly údajně nabízeny k samostatnému prodeji. Narušení odhaluje vícevrstvou zranitelnost.
Společnost CGI incident potvrdila. „Incident se týká dvou interních testovacích serverů ve Švédsku. Servery se nepoužívají v produkčním prostředí, ale slouží k testování a jsou připojeny ke službě pro omezený počet zákazníků,“ uvádí se v prohlášení společnosti .
Útočníci získali přístup ke starší verzi zdrojového kódu, uvedla společnost CGI, a „v současné době neexistují žádné náznaky dopadu na produkční prostředí zákazníků, produkční data nebo provozní služby.“
Švédský daňový úřad nabídl podobné ujištění. „Všechny incidenty bereme vážně, ale nevidíme nic, co by se nás v tuto chvíli týkalo,“ řekl Peder Sjölander, ředitel IT ve Švédském daňovém úřadu.
Rámec „testovacích serverů“ si zaslouží důkladnou kontrolu. Testovací prostředí odráží produkční architekturu. Zveřejnění zdrojového kódu se na dashboardu narušení bezpečnosti neobjevuje jako bezprostřední dopad na zákazníka, ale útočníkům přesně říká, jak jsou konstruovány autentizační toky, kde se generují tokeny relací a jak vypadá produkční systém pod kapotou.
Škody způsobené tímto typem narušení bezpečnosti se nenápadně hromadí.
Vlády po celém světě se v současnosti předhánějí v budování centralizovaných systémů digitální identity. Jedná se o systém digitální identity EU, plány Spojeného království v oblasti digitální identity a návrhy v jihovýchodní Asii, Latinské Americe a státech Perského zálivu.
Švédsko je prezentováno jako vzor. BankID je uváděn jako důkaz fungování jednotné digitální identity. Do těchto diskusí se však jen zřídka dostává to, čím si Švédsko prošlo poslední rok.
V loňském roce cílený DDoS útok na několik hodin vyřadil BankID z provozu. Více než 8,6 milionu lidí nemohlo současně převádět peníze, mít přístup k vládním službám ani si online ověřit totožnost. Nebyla odcizena žádná data.
Systém prostě přestal fungovat. To je další zranitelnost, kterou centralizace vytváří: nejen narušení bezpečnosti, ale výpadky, které postihnou všechny najednou, protože všichni jsou závislí na stejném kanálu.
Zastánci centralizované digitální identifikace to definují jako efektivitu a inkluzivitu. Jedno přihlášení, všude. Konec fragmentovaným přihlašovacím údajům. Švédský případ ilustruje druhou stranu této mince; když je identita centralizovaná, tak jsou centralizovány i škody, když se něco pokazí.
Populace, která se ověřuje prostřednictvím jediného systému, může být ve velkém měřítku z tohoto systému zablokována. Jejich přihlašovací údaje lze korelovat napříč službami, se kterými nikdy nesouhlasili.
Jejich identifikační údaje, bankovní chování, daňové údaje a digitální podpisy existují ve stejném ekosystému, který může zpochybňovat kdokoli, kdo infrastrukturu vlastní, a který je prolomitelný kýmkoli, kdo k ní má přístup.
Na závěr je dobré připomenout, že údaje ze všech systémů ID v rámci EU se mají již příští rok sloučit v jeden jediný, evropský eID. Právě EU bude shromažďovat údaje o všech „euroobčanech,“ kteří budou zahrnuti v jednotné databázi.
Pro hackery bude jistě tak rozsáhlá databáze velkým lákadlem…
Ohodnoťte tento příspěvek!
[Celkem: 0 Průměrně: 0 ]
