Ühe Tallinna kooli 5. klassis käiva lapse vanem rääkis Geeniusele, kuidas ta püüdis hiljuti taastada Nutisport.eu lehel lapse konto sissepääsu. Parooli lähtestamise võimalust lapse e-postiaadressile tellida ei saa, selle asemel suunati ta lõpuks oma kooli õpetaja poole, kellel oli privileeg luua uusi paroole. Õpetaja saatis siis parooli lahtise tekstina lapsevanemale, kes selle edastas omakorda lapsele.
Kuigi see hõlbustab kontode avamist, ei ole keskkonnas mehhanisme, mis nõuaksid õpetaja loodud parooli äravahetamist.
Põldsaar ütles, et õpetajaile meeldib, et väiksemate lastega, kellest enamikel pole meiliaadressi, käib konto tegemine käib kiiresti. “Kui pooltel on parool meelest läinud, saab enne tööle kui pool tundi läbi,” lisas Põldsaar.
Võib olla veel tõsisemaidki vigu
Ühe allika väitel on Nutispordi lehel veel tõsisemaidki vigu. Näiteks on võimalik peilida välja infot serveris olevate kasutajakontode kohta ja rünnata selle info põhjal ühte konkreetset kontot. Server lekitab ka muud infot, mis võimaldab paremini sihitud ründeid. Lisaks ei kontrollita teatud oludes harjutuste skooride õigsust, mida on võimalik muuta. Tagatipuks on võimalik käivitada lehel ründaja enda koodi, mis on ohtlik kõigile külastajatele.
Geeniusel ei õnnestunud neid kahtlusi iseseisvalt kinnitada, kuid võtsime ühendust riigi infosüsteemi ameti intsidentide käsitlemise osakonnaga (CERT). CERTi juht Tõnu Tammer ütles, et nende osakond kontrollis veebikeskkonnaga seotud riske ja võttis ühendust portaalipidajaga. Tammer möönis, et Eestis on veel palju veebilehti ja e-postiserverid seadistatud puudulikult, millele CERT püüab tähelepanu tõmmata.
Nutisport.eu juhtiv Kalev Põldsaar aga andis Geeniusele tähtajaks, et väikeste ressursside ja töövälisest ajast tegutsemise tõttu pole veebilehe turvalisuse parandamine võimalik enne 8. aprilli.