Себастиан Горцела, эксперт по кибербезопасности компании CIPHRON GmbH
Логичным шагом со сторон властей ЕС было бы сейчас отозвать украденные ключи.
При этом, однако, будут аннулированы и все подлинные сертификаты, выданные ранее с использованием этих ключей, предупреждает Горцела.
“Они будут считаться “скомпрометированными”, так что их обладателям придется подтверждать подлинность этих цифровых документов, например, с помощью архива.
Тогда пациенты смогут получить другой документ, произведенный с использованием уже нового цифрового ключа”, – указывает эксперт.
HELPSOC мнение: Но Вы же понимаете, при тысячах и миллионах учётных, записей это неприемлемо. Есть лучшая идея: новая регистрация двойственной учётной записью:
если,
Вы не можете подключиться, сайт предлагает возобновить или сменить пароль, при этом меняя приватный ключ на индивидуальный с новым логином, например.
Для этого, все владельцы зелёных сертификатов или QR — kod должны перед ожидаемой проверкой службами, пройти верификацию ( проверку на владельца). Вот и всё.
Данный метод уже давно негласно используется в соц сетях, ответственных сайтах крупных компаний, в банковской сфере и сетевом маркетинге.
Недостаток такого метода: в неадекватных правилах верификации ( они могут быть, как излишне мягкие, так и излишними: например,
скан паспорта или финансовых документов), тут важен совет специалистов, пробный период или тестирование на практике, с последующей коррекцией.
Гадая о том, как цифровые ключи могли попасть в руки хакерам, большинство экспертов называют два возможных сценария: взлом баз данных ведомств по вопросам здравоохранения отдельных стран-членов ЕС (в данном случае Польши и Франции) или подкуп сотрудников этих ведомств.
Флориан Ханземан – эксперт по кибербезопасности компании HanseSecure
По мнению Флориана Ханземана (Florian Hansemann), эксперта по кибербезопасности, управляющего мюнхенской компанией HanseSecure, оба сценария являются вероятными.
одно из классических “слабых мест” приложений, устанавливаемых на компьютерах с операционными системами iOS и Android, а именно: возможность провести так называемый обратный анализ (Reverse-Engineering), то есть посмотреть их исходный код с целью найти чувствительные данные.
HELPSOC мнение: Уважаемый эксперт, очевидно имеет ввиду физически записанный в файл исходный код, с целью получения доступа к Вашему устройству, либо действовать от имени Вашего устройства.
(об этом читайте ниже).
