Šta se desilo?

Sajt euprava.gov.rs učitava JavaScript biblioteku sa domena polyfill.io, koji je sredinom 2024. godine kompromitovan i korišćen za distribuciju zlonamernog koda. Mada je polyfill.io sada zaštićen HTTP autorizacijom koja sprečava učitavanje zlonamernog sadržaja, stranica i dalje zavisi od eksternog resursa koji predstavlja potencijalni rizik. Nazivaju se i spekulacije da HTTP zaštita može biti korišćena za prikupljanje korisničkih kredencijala.

Koga pogađa?

Građani Srbije koji koriste eUpravu, posebno kroz stranicu za pronalaženje lokacija izdavanja dokaza o identitetu (/eidlokacije) i povezane usluge kao što je prijava preko mobilnog telefona preko aplikacije ConsentID. Potencijalno su pogođeni i svi drugi korisnici sajtova koji učitavaju polyfill.io biblioteku.

Kako se zaštititi?

  • Nikada ne unosite lozinke ili osetljive podatke ako vam se iznenađujuće traži autentifikacija pri učitavanju
  • Koristite dodatke za pretraživanje kao što je uBlock Origin koji već blokira polyfill domen
  • Razmislite o korišćenju alternativnih kanala za pristup eUprava uslugama ako su dostupni

Tehnički detalji

Domen polyfill.io je kompromitovan sredinom 2024. godine i korišćen za injekciju zlonamernog koda koja je pogodila veliki broj sajtova sa preusmerenjima na spam sadržaj. Pojedine sigurnosne platforme kao uBlock Origin, Quad9, Fortinet i Cloudflare CDN su blokirale domen, ali većina komercijalnih antivirusa ga ne prepoznaje kao maliciozni. eUprava stranica je označena development oznakama i Google Maps integracija ne funkconiše pravilno.

Preporuka Sajber Radara

Nadležne institucije trebalo bi hitno da ažuriraju eUpravu tako da ne zavisi od eksternih izvora, posebno onih koji su već bili predmet bezbednosnih incidenata. Korisnici trebalo bi da budu obavešćeni o riziku i da koriste ovaj servis sa oprezom dok se problemi ne reše.