Το εκτεταμένο εθνικό σύστημα ψηφιακής ταυτότητας της Σουηδίας υπέστη παραβίαση, ενώ τα ευαίσθητα προσωπικά δεδομένα των πολιτών πωλούνται ήδη στο Dark Web (Σκοτεινό Ιστό).
Μια ομάδα χάκερ που αυτοαποκαλείται “ByteToBreach” φέρεται να έχει αποκαλύψει & δημοσιεύσει τον πηγαίο κώδικα που σχετίζεται με το εθνικό σύστημα ψηφιακής ταυτότητας της Σουηδίας.
Το περιστατικό έχει προκαλέσει ανησυχίες σχετικά με τους κινδύνους του κεντρικού ελέγχου, καθώς οι κυβερνήσεις παγκοσμίως προωθούν παρόμοια συστήματα.
Η ομάδα των χάκερ ισχυρίζεται ότι παραβίασε το σουηδικό τμήμα της CGI και απέκτησε πρόσβαση στον πηγαίο κώδικα που συνδέεται με το σύστημα ψηφιακής ταυτότητας της Σουηδίας, που ονομάζεται BankID.
Το BankID είναι το ενιαίο σύστημα ελέγχου της Ψηφιακής Ταυτότητας που χρησιμοποιείται από εκατομμύρια Σουηδούς για τις τραπεζικές συναλλαγές, τους φόρους, στις κυβερνητικές υπηρεσίες και τις ψηφιακές υπογραφές.
Οι Χάκερ Ισχυρίζονται ότι έχουν Πρόσβαση στην Βασική Υποδομή της Ψηφιακής Ταυτότητας
Σύμφωνα με αναφορές, το υλικό που διέρρευσε περιλαμβάνει τον πηγαίο κώδικα, τους κωδικούς πρόσβασης και τα κλειδιά κρυπτογράφησης που συνδέονται με τα συστήματα που υποστηρίζουν συνδέσεις BankID για τη Σουηδική Φορολογική Υπηρεσία.
Το BankID δεν είναι ένα εξειδικευμένο εργαλείο, καθώς χρησιμεύει ως η ραχοκοκαλιά της ψηφιακής υποδομής της Σουηδίας.
Περισσότεροι από 8,6 εκατομμύρια άνθρωποι σε μια χώρα με πληθυσμό λίγο πάνω από 10 εκατομμύρια βασίζονται σε αυτό το σύστημα για την καθημερινή τους ζωή, δημιουργώντας αυτό που οι αντιφρονούντες-επικριτές έχουν προειδοποιήσει ότι αποτελεί ένα επικίνδυνο ενιαίο ψηφιακό σύστημα.
Τα δεδομένα φέρεται να παρουσιάστηκαν προς πώληση σε μια γνωστή πλατφόρμα κυβερνοεγκλήματος στον κυβερνοχώρο που ονομάζεται Breached.
Το Breached είναι ένα φόρουμ στο Σκοτεινό Διαδίκτυο (Dark Web) όπου διαρρέουν και ανταλλάσσονται ή πουλιούνται δεδομένα που έχουν παραβιαστεί.
Οι κυβερνοεγκληματίες χρησιμοποιούν αυτή την πλατφόρμα για να δημοσιεύουν και να πωλούν τις κλεμμένες βάσεις δεδομένων.
Λίγο μετά τη διαρροή των προσωπικών δεδομένων στο Breached, ο ιστότοπος τέθηκε εκτός λειτουργίας στο πλαίσιο μιας επιχείρησης κυβερνοασφάλειας των νομίμων Σουηδικών Αρχών, περιορίζοντας έτσι, την ανεξάρτητη επαλήθευση του μεγέθους της παραβίασης.
Ωστόσο, δεν είναι σαφές πόσα από τα προσωπικά δεδομένα πουλήθηκαν πριν από την κατάργηση του ιστότοπου.
Ξεχωριστές αναφορές δείχνουν ότι βάσεις δεδομένων που περιέχουν προσωπικά δεδομένα και τις ηλεκτρονικές υπογραφές των Σουηδών πολιτών κυκλοφορούν ήδη μεταξύ των κυβερνοεγκληματιών του κυβερνοχώρου, γεγονός που κλιμακώνει περαιτέρω τις υπάρχουσες ανησυχίες.
Οι Αξιωματούχοι Υποβαθμίζουν το Περιστατικό παρά τις Σοβαρές Συνέπειες
Η CGI επιβεβαίωσε την παραβίαση, από τους χάκερ, αλλά τη χαρακτήρισε ως περιορισμένης εμβέλειας, ισχυριζόμενη ότι αφορούσε μόνο εσωτερικούς δοκιμαστικούς διακομιστές.
«Το περιστατικό αφορά δύο εσωτερικούς δοκιμαστικούς διακομιστές στη Σουηδία», ανέφερε η εταιρεία.
«Οι διακομιστές δεν χρησιμοποιούνται στην παραγωγή, αλλά για δοκιμές, συνδεδεμένοι με μια υπηρεσία για περιορισμένο αριθμό πελατών.»
Η CGI δήλωσε επίσης ότι οι κυβερνοεγκληματίες εισβολείς απέκτησαν πρόσβαση σε μια παλαιότερη έκδοση του πηγαίου κώδικα και επέμεινε ότι «προς το παρόν δεν υπάρχουν ενδείξεις για οποιαδήποτε επίπτωση στα περιβάλλοντα παραγωγής των πελατών, στα δεδομένα παραγωγής ή τις λειτουργικές υπηρεσίες των πελατών. Οι πληροφορίες που υποστηρίζουν το αντίθετο δεν είναι ακριβείς».
Η Φορολογική Υπηρεσία της Σουηδίας επανέλαβε την ίδια θέση.
«Αντιμετωπίζουμε όλα αυτά τα περιστατικά με σοβαρότητα, αλλά δεν διαπιστώνουμε τίποτα που να μας επηρεάζει αυτή τη στιγμή», δήλωσε ο Διευθυντής Πληροφορικής Peder Sjölander.
Ωστόσο, οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η έκθεση του πηγαίου κώδικα, ακόμη και από δοκιμαστικά περιβάλλοντα, μπορεί να παρέχει στους εισβολείς έναν οδικό χάρτη για την εκμετάλλευση των ενεργών συστημάτων, συμπεριλαμβανομένων των ροών ελέγχου ταυτότητας και της αρχιτεκτονικής ασφάλειας.
Η Κεντρική Ψηφιακή Ταυτότητα Αντιμετωπίζει όλο & Αυξανόμενη Κριτική
Αυτή η παραβίαση ασφαλείας αναδεικνύει τις ευρύτερες ανησυχίες που σχετίζονται με τα συστήματα της ψηφιακής ταυτότητας.
Αυτό συμβαίνει καθώς οι κυβερνήσεις σε όλο τον κόσμο υιοθετούν ολοένα και περισσότερο την τεχνολογία της ψηφιακής ταυτότητας.
Το σύστημα BankID της Σουηδίας πλασάρεται & προωθείται εδώ και καιρό ως ένα μοντέλο αποτελεσματικότητας & άνεσης που επιτρέπει στους πολίτες να έχουν πρόσβαση σε όλες σχεδόν τις υπηρεσίες μέσω ενός μόνο κωδικού πρόσβασης.
Αλλά αυτή η ευκολία συνοδεύεται από ένα συστημικό κίνδυνο.
Μόλις πέρυσι, μια κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS) έθεσε προσωρινά εκτός λειτουργίας το BankID. [*σ.μ. Επίθεση DDoS είναι μια κακόβουλη προσπάθεια διακοπής της κανονικής λειτουργίας ενός διακομιστή, υπηρεσίας ή δικτύου, κατακλύζοντάς τον με τεράστιο όγκο κίνησης στο διαδίκτυο από πολλαπλές πηγές (botnet)].
Η επίθεση αυτή είχε ως αποτέλεσμα εκατομμύρια άνθρωποι να μην μπορούν να έχουν πρόσβαση στις χρηματοοικονομικές υπηρεσίες, να επαληθεύσουν την ταυτότητά τους ή να αλληλεπιδράσουν με τα κυβερνητικά συστήματα ή υπηρεσίες, όλα αυτά ταυτόχρονα.
Οι τελευταίες καταγγελίες για παραβιάσεις υπογραμμίζουν μια βαθύτερη σημαντική ευπάθεια: Όταν η ταυτότητα είναι κεντρική, τόσο οι διακοπές λειτουργίας όσο και τα προβλήματα ασφάλειας μπορούν να επηρεάσουν μαζικά ολόκληρους πληθυσμούς ταυτόχρονα.
Καθώς, στις χαλεπές ημέρες μας, οι κυβερνήσεις παγκοσμίως προωθούν παρόμοια συστήματα ψηφιακής ταυτότητας, οι αντιτιθέμενοι αντιφρονούντες προειδοποιούν ότι αυτή η αρνητική εμπειρία της Σουηδίας μπορεί να χρησιμεύσει ως προειδοποιητικό παράδειγμα για το τι μπορεί να συμβαίνει αύριο & μεθαύριο, όταν οι κρίσιμες υποδομές θα έχουν ενοποιηθεί σε έναν ενιαίο, υψηλής αξίας στόχο & τα μετρητά θα έχουν αντικατασταθεί από τα προγραμματιζόμενα ψηφιακά νομίσματα (π.χ. ψηφιακό ευρώ).
