Uudis

27 000 eestlase paroolid lekkisid, portaal kuulis lekkest aasta pärast selle toimumist

Foto: Shutterstock

Eelmisel aastal lekkisid Eesti ühe kuulutusteportaali kasutajate kontoandmed. Paroolid ja muu informatsioon rippus internetis pea aasta aega, ilma et portaal oleks sellest teadlik olnud. 

Portaali haldaja ei andnud riigi infosüsteemi ameti (RIA) korduvate päringute peale tagasisidet ning ei järginud seadust, mis kohustab neid lekke toimumise järgselt 72 tunni jooksul andmekaitse inspektsiooni (AKI) informeerima. 

Portaali haldaja ei andnud mõistliku aja jooksul tagasisidet

Tänavu juunis edastati RIA intsidentide käsitlemise osakonda (CERT-EE) informatsioon, mis puudutas Eesti üht kuulutusteportaali. Info kohaselt oli portaalis leidnud aset andmeleke, mille käigus läksid liikvele 27 000 kasutaja meilikontode ja paroolide räsid. Juhtum on märgiline, kuna leke toimus esialgse info kohaselt juba eelmise aasta maikuus. 

Kuna sellist infot osakonnal varem ei olnud, informeeris CERT-EE portaali haldajat lekkest ning paluti tagasisidet mõjude kohta. Mõistliku aja jooksul seda tagasisidet ei laekunud.

CERT-EE juhi Tõnu Tammeri sõnul juhtisid nad portaali tähelepanu ka sellele, et vastavalt seadusele peavad nad 72 tunni jooksul lekkest informeerima AKIt. 

“Kuna portaalilt mõistliku aja jooksult vastust ei tulnud ka korduvpäringu peale, siis viimases korduvpäringus oli andmekaitse inspektsioon meie kirja koopias,” lisas Tammer.

AKI pole menetluse osas otsust langetanud

Millise portaaliga on tegemist, ei soostuta ütlema. Kuigi esialgse informatsiooni kohaselt leidis leke aset 2019. aasta mais, siis hilisemas kommentaaris väitis RIA pressiesindaja Seiko Kuik, et see leidis aset 2019. aasta augustis. Ajaperioodi osas on kindel vaid see, et see toimus eelmisel aastal. 

Portaal on tänaseks kasutajaid lekkest informeerinud ning kuna samade kontoandmetega enam keskkonda sisse ei saa, on RIA sõnul lekke puhul ohuks eelkõige paroolide korduvkasutamine teistes keskkondades.

Kuigi portaal ei informeerinud AKIt õigeaegselt, ei ole inspektsiooni avalike suhete nõuniku Signe Heibergi kohaselt pole nad veel võtnud vastu otsust, kas algatavad järelevalvemenetluse või mitte. Küll aga on AKI teemat lähemalt uurimas. 

“RIA on vajaliku eelteavituse AKI-le teinud ja oleme info saanud samuti andmetöötlejalt. AKI-l tuleb küsida andmetöötlejalt veel hulga lisaküsimusi, et saada juhtunus selgust, sest laekunud eelinfo on olnud vähene,” ütles Heiberg.

Eelmise aasta suvel leidis aset Eesti ajaloo suurim e-poe andmeleke, kui ripakil olid 14 000 eestlase isikuandmed. Lekke päevavalgele tulemise järgselt algatas AKI e-poe osas menetluse pea koheselt

Oled sa DigiPRO või Geenius? Vali sobiv tellimus siit.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.