При этом работу с, собственно, электронной подписью, найденная уязвимость никак не затрагивает. Злоумышленники не могли с ее помощью изменить или подделать подпись либо модифицировать уже подписанные документы.
Об этом говорится в сообщении CERT.lv и в описании уязвимости в базе данных известных дыр в программном обеспечении. В более новых версиях дыра закрыта.
Ошибку еще в конце 2016 года нашел специалист по безопасности Оскар Вегерис, который связался с CERT и Латвийским государственным радио- и телецентром (LVRTC), ответственным за е-подпись в Латвии, и сообщил о наличии проблемы. Публично о существовании ошибки до того, как ее исправили, не рассказывал ни специалист, ни CERT — в полном соответствии с мировой практикой.
Ни у CERT, ни у LVRTC нет информации о том, что дыра была использована для нанесения ущерба пользователям. Всем, кто использует eParakstītājs в своей работе, рекомендуется незамедлительно обновить программу.
