Uudis

Eesti.ee keskkonnas oli ohtlik turvaviga, mis lubas sinna siseneda teise inimesena

Eesti.ee-sse oli teoorias võimalik siseneda kellegi teisena.Foto: Geenius

RIA aastaraamatust selgub, et eelmisel aastal leiti Eesti.ee keskkonnast ohtlik turvaviga, mis lubas sinna siseneda teise inimesena.

29. juunil teavitasid ühe Eesti asutuse küberturvalisuse eksperdid RIA-t riigiportaali eesti.ee turvanõrkusest, mille ärakasutamisel oli võimalik pangalingi abil portaali sisse logida teise kasutajana. Teadaolevalt turvanõrkust ära ei kasutatud.

Saades aru olukorra tõsidusest, sulges RIA riigiportaali sisenemise pangalingi kaudu ning asus tuvastatud viga parandama ja riski maandama, mis võttis aega neli päeva.

Millega oli tegu?

Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele.

Leitud viga võimaldas portaali sisenemist teise inimese nimel juhul, kui sisselogija lõi pangalingi tehnilise kirjelduse järgi ebakorrektse pangapoolse kinnituse ise ja suutis selle saata eesti.ee portaalile sisselogimise kinnituseks.

Viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega. Hilisemal uurimisel selgitas RIA välja, et kirjeldatud viga tekkis ilmselt 2015. aasta oktoobris portaali baastarkvaras tehtud muudatuste ja uue pangalingi kasutuselevõtmise käigus.

Tegemist ei olnud pahatahtliku veaga, vaid arendaja ja RIA kui tellija hooletusega.

Kahjusid teadaolevalt ei olnud

Võimalike kahjude või pahatahtliku tegevuse väljaselgitamiseks kontrollisime üle riigiportaali sisenemise logid alates kirjeldatud muudatuse tegemisest. Mitu päeva kestnud logide kontrollimise tulemusel ei tuvastanud me midagi, mis viitaks sellele, et turvanõrkust oleks ära kasutatud.

Kellegi andmed ei olnud kättesaadavad ning kellegi teise nimel sisselogimisi ei fikseeritud. Pärast mitmepäevast intensiivset tööd ja ka välisekspertide läbiviidud turvateste taastas RIA 4. juulil uuesti riigiportaali sisenemise pangalingi kaudu.

Märksõnad: , ,

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.