Millega oli tegu?
Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele.
Leitud viga võimaldas portaali sisenemist teise inimese nimel juhul, kui sisselogija lõi pangalingi tehnilise kirjelduse järgi ebakorrektse pangapoolse kinnituse ise ja suutis selle saata eesti.ee portaalile sisselogimise kinnituseks.
Viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega. Hilisemal uurimisel selgitas RIA välja, et kirjeldatud viga tekkis ilmselt 2015. aasta oktoobris portaali baastarkvaras tehtud muudatuste ja uue pangalingi kasutuselevõtmise käigus.
Tegemist ei olnud pahatahtliku veaga, vaid arendaja ja RIA kui tellija hooletusega.
Kahjusid teadaolevalt ei olnud
Võimalike kahjude või pahatahtliku tegevuse väljaselgitamiseks kontrollisime üle riigiportaali sisenemise logid alates kirjeldatud muudatuse tegemisest. Mitu päeva kestnud logide kontrollimise tulemusel ei tuvastanud me midagi, mis viitaks sellele, et turvanõrkust oleks ära kasutatud.
Kellegi andmed ei olnud kättesaadavad ning kellegi teise nimel sisselogimisi ei fikseeritud. Pärast mitmepäevast intensiivset tööd ja ka välisekspertide läbiviidud turvateste taastas RIA 4. juulil uuesti riigiportaali sisenemise pangalingi kaudu.