Согласно данным из открытых источников, доменное имя Сервиса Datcom.kz (datcom.kz) зарегистрировано на физическое лицо, а услуги предоставляются от имени ТОО «CSI Legal Services», где вышеуказанное физическое лицо является директором. Сервис позволяет подписывать любые виды электронных документов при помощи ЭЦП.
При анализе обнаружено одно замечание красного уровня [🤬] (об уровнях).
На сайте datcom.kz аутентификация по цифровым сертификатам (при помощи ЭЦП) реализована так, что пользователи всегда подписывают один и тот же фиксированный блок данных. В том случае, если злоумышленник сможет перехватить этот подписанный пользователем блок данных при отправке его на сервер, то он сможет повторно использовать его для того, чтобы входить в систему от имени пользователя.
Рекомендуется для каждой попытки аутентификации генерировать для подписания блок случайных данных, вести их учёт на стороне сервера таким образом, чтобы каждый блок мог быть использован только один раз.
Vladimir Turekhanov ・ April 25, 2021