14 августа 2001 года компанией "ЛАН Крипто" заявила о взломе защиты в системе Интернет-Банкинга компании "Бифит". По сообщению, для проведения атаки необходимо иметь один подписанный клиентом документ. В результате, в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи (компьютер PII 500). Взлом стал возможен благодаря неграмотной реализации системы ЭЦП, в частности, из-за использования датчика случайных чисел собственной разработки.
Интернет-Банкингом разработанным компанией "Бифит" в настоящее время пользуется более 40 российских банков, среди которых такие как СДМ-Банк, Русский Генеральный Банк, Бин-Банк, Номос-банк.
В то же время, по данным i2r.ru, взлома как такового не было.
СДМ-Банк заказал компании "ЛАН Крипто" проведение экспертизы механизмов защиты информации, в ходе которой была обнаружена уязвимость в защите, позволявшая банкам восстанавливать секретный ключ клиентов (кстати, некоторые банки и без багов в защите имеют возможность и проводят подобные процедуры). В результате, клиенты банка могли пострадать только в случае инсайдерских действий его работников.
Генеральный директор компании "БИФИТ" Дмитрий Репан в комментариях нашему изданию заявил о том, что специалисты компании уже выявили и устранили потенциальную уязвимость в механизме ЭЦП, основанную на
использовании криптографически нестойких генераторов случайных чисел,
встроенных в Java-машины Web-браузеров Microsoft Internet Explorer и
Netscape Communicator.
Для исправления ситуации компания "БИФИТ" провела модификацию исходных
текстов системы, а также незамедлительно устранила выявленную ошибку, выпустив новую версию 1.8.2 системы "iBank" и пакет обновлений для более ранних версий 1.8.1.х. В настоящее время подавляющее большинство банков уже провели обновление системы "iBank" до версии 1.8.2.
Тексты программ для взлома можно получить на сайте ЛАН Крипто, однако, скорее всего они уже не работают.
