Komunita kolem služby mojeID nás upozornila na problém úniku privátního klíče, který používáme na podepisování přihlášení přes OpenID Connect (OIDC) a SAML. V reakci na tuto zprávu jsme okamžitě obměnili klíč i příslušný certifikát. Do budoucna změníme proces rotace klíče a zvýšíme kontrolu tohoto kroku, aby k podobné situaci nedošlo. Poskytovatelé služby mojeID, kteří využívají protokolů OIDC a SAML, byli kontaktováni. Jedná se o několik jednotek poskytovatelů služeb, kteří tyto nové protokoly implementovali. Incident se netýká protokolu OpenID 2.0, který využívá drtivá většina poskytovatelů.

„Rád bych zdůraznil, že nemohlo dojít k úniku hesel ani osobních údajů uživatelů služby mojeID a že služba je i nadále bezpečná. Tato chyba v konfiguraci by umožňovala napadení jen v případě útoku typu man-in-the-middle a v případě selhání dalších stupňů ochrany. Tuto skutečnost jsme oznámili poskytovatelům služby mojeID využívajících zmíněné protokoly. Spolu s nimi porovnáváme logy, což definitivně potvrdí, zdali k nějakému incidentu nedošlo,“ uvedl Ondřej Filip, výkonný ředitel sdružení CZ.NIC.