據(jù)外媒ZDNet 11月17日報道,繼愛沙尼亞數(shù)周前被曝76萬國民電子身份證受英飛凌加密漏洞ROCA的影響后,網(wǎng)絡(luò)安全公司 Enigma Bridge研究人員Dan Cvrcek于近期再次發(fā)現(xiàn)該漏洞或?qū)⑽<拔靼嘌烙?000萬張代表國民身份的智能卡片DNIe 。
每一張DNIe卡片都是獨一無二的,它其中內(nèi)含兩款證書芯片分別用于身份識別和電子簽名。據(jù)悉,攻擊者可通過該漏洞在用戶使用電子簽名時導(dǎo)致合約簽署失效,不過出現(xiàn)這一狀況的部分原因還有可能是因為西班牙公民在一些重要簽名時未使用時間戳進行記錄。西班牙國家報《El País》 在此前的調(diào)查中寫道:“雖然公民僅僅只在 0.02% 的公共服務(wù)中使用了該身份證件,但隨著影響規(guī)模的不斷增大,其攻擊場景也會隨之變得更加混亂。”
近期,雖然西班牙政府在此次事件發(fā)生后強烈建議用戶在多數(shù)公共部門的自助終端上禁用該智能卡片進行電子簽名,但用戶仍可通過個人電腦的小型讀卡器使用該卡片對其文件進行在線簽名。當(dāng)?shù)?strong>警方與其他公共機構(gòu)當(dāng)前仍保持沉默,尚未通過社交媒體提供有關(guān)漏洞的影響以及受到影響后如何采取措施的更多信息,而西班牙巴斯克的證書頒發(fā)機構(gòu) Izenpe 目前已撤銷 3 萬份證書,并提供了關(guān)于如何更換證書的相關(guān)信息。