Uudis

Eesti kiirlaenukontori veebilehel oleks turvanõrkuse tõttu saanud võõra inimese nimel laenu võtta

Alates 2018. aasta lõpust väljastatud uus ID-kaart.Foto: Sander Ilvest/Scanpix

Riigi Infosüsteemi Amet (RIA) registreeris detsembris 149 küberintsidenti. Kahju tekitasid peamiselt lunavararünnakud ning arvepettus. Teiste hulgas aitasid eksperdid eemaldada turvanõrkuse, mis andnuks võimaluse võtta kiirlaenu võõra inimese nimel.

Kui läinud suvel avastasid RIA eksperdid turvanõrkuse paarikümnel Eesti veebilehel, mis ei kontrollinud ID-kaardiga autentimisel sertifikaatide kehtivust ja allkirjastatust, siis detsembris avastati ühel kiirlaenu pakkuva ettevõtte veebilehel sarnane turvanõrkus. See nõrkus andis teoreetilise võimaluse võtta võõra inimese nimel kiirlaenu.

RIA küberintsidentide käsitlemise osakonna (CERT-EE) juhi Tõnu Tammeri sõnul ei saa sellisel juhul inimene enda kaitseks midagi teha.

“Kõik hoovad on teenusepakkuja käes,” ütles ta. Korrektselt seadistatud veebileht välistab võimaluse kasutajaid selliselt kuritarvitada. Puudustele saab ka kiiremini jälile, kui teenusepakkujad logivad ja filtreerivad lehel toimuvaid päringuid.”

RIA uuendas ka veebiserverite seadistamise juhendit. Kõik riiklike autentimisteenuseid kasutavad ettevõtted peaksid üle vaatama veebiserveri seadistuse ning veenduma, et lähtutakse viimastes juhendites toodust. Uued juhendid on leitavad portaalist www.id.ee.

Lunavararünnakud ja petukirjad

Detsembris teavitasid kolm Eesti ettevõtet, et langesid lunavararünnaku ohvriks. Kahel juhul saadi ligipääs andmetele ja süsteemidele Windowsi kaugtöölaua-protokolli, kolmandal juhul teise kaugelt ligipääsetava ühenduse kaudu.

Tartus tegutsev ettevõte teatas arvepettusest. Kurjategijad jälgisid ettevõte ja selle koostööpartneri meilivahetust ning sekkusid sellese hetkel, kui jutt läks arve tasumisele. End tarnijana esitlenud petturid saatsid Tartu ettevõttele arve, mille palusid tasuda uuele pangakontole. Selline vangerdus jäi paraku arvesaajale märkamata, mistõttu tasus ettevõte petistele soovitud 3400 eurot.

Aasta viimasel kuul levisid aktiivselt õngitsuskirjad. Omniva nimel edastati kirju, milles paluti saabunud paki eest tasu. Kirjas oli link petturite kontrolli all olevale veebilehele, kuhu meelitati sisestama pangakaardi andmeid.

Kuu lõpus levisid SEB nimelt saadetud petukirjad, millega püüti välja petta klientide internetipanga kasutajatunnuseid ja Smart-ID PIN-koode. Oma andmete uuendamiseks pole vaja sisestada PIN2-koodi. Üleüldse tuleb meeles pidada, et PIN2-kood on võrdne allkirjaga.

Eelmisel aastal registreeris RIA küberintsidentide lahendamise osakond (CERT-EE) ligi 2800 sellist küberintsidenti, mille puhul oli teabe või süsteemide konfidentsiaalsus, terviklus või kättesaadavus häiritud. Aasta varem oli selliseid juhtumeid ca 3200 ehk 400 võrra enam.

Toimetas Kristjan Ats Mägi.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.