Seevastu saab aga veebilehele konto teha kasvõi võõra e-posti aadressiga, tänu millele saab igaüks näha õpilaste nimekirju ja nende matemaatikaharjutuste tulemuste pingeridu.

Näiteks võib igaüks vaadata, mis nimega ja mis koolist on parim 1., 2. või 3. klassi arvutaja.

Näha on nii edetabelid kõikides vanuseastmetes üle Eesti ja seda alates aastast 2015. Tegu pole ainult edetabeli tippudega, vaid tabelitest näeb ka nende laste nimesid, kes on soorituse poolest tagapool või viimased.

Parooliga käiakse lõdvalt ümber

Veebilehele konto tegemisel ei ole salasõnale erilisi nõudeid ja see ei vasta näiteks riigi infosüsteeemi ameti soovitustele, millega võiks piirata väga lihtsate salasõnade kasutamist (näiteks 123456, password, admin või konto tegija enda nimi).

Pärast konto tegemist saadetakse kasutaja e-postile see sama parool, mis juba iseenesest paneb parooli turvalisuse ohtu, kuna e-post ei ole mõeldud privaatsete andmete vahetamiseks. Samuti tekitab see kahtlusi, kas veebikeskkond ei hoia paroole mitte vabatekstina, kust need võiks lekkida.

Lapsevanem: õpetaja saadab meile meiliga paroole

Paroolidega ebaturvalist ümberkäimist soodustab ka see, et õpetajad loovad ja jagavad õpilastele paroole.

Ühe Tallinna kooli 5. klassis käiva lapse vanem rääkis Geeniusele, kuidas ta püüdis hiljuti taastada Nutisport.eu lehel lapse konto sissepääsu. Parooli lähtestamise võimalust lapse e-postiaadressile tellida ei saa, selle asemel suunati ta lõpuks oma kooli õpetaja poole, kellel oli privileeg luua uusi paroole. Õpetaja saatis siis parooli lahtise tekstina lapsevanemale, kes selle edastas omakorda lapsele.

Kuigi see hõlbustab kontode avamist, ei ole keskkonnas mehhanisme, mis nõuaksid õpetaja loodud parooli äravahetamist.

Põldsaar ütles, et õpetajaile meeldib, et väiksemate lastega, kellest enamikel pole meiliaadressi, käib konto tegemine käib kiiresti. “Kui pooltel on parool meelest läinud, saab enne tööle kui pool tundi läbi,” lisas Põldsaar.

Võib olla veel tõsisemaidki vigu

Ühe allika väitel on Nutispordi lehel veel tõsisemaidki vigu. Näiteks on võimalik peilida välja infot serveris olevate kasutajakontode kohta ja rünnata selle info põhjal ühte konkreetset kontot. Server lekitab ka muud infot, mis võimaldab paremini sihitud ründeid. Lisaks ei kontrollita teatud oludes harjutuste skooride õigsust, mida on võimalik muuta. Tagatipuks on võimalik käivitada lehel ründaja enda koodi, mis on ohtlik kõigile külastajatele.

Geeniusel ei õnnestunud neid kahtlusi iseseisvalt kinnitada, kuid võtsime ühendust riigi infosüsteemi ameti intsidentide käsitlemise osakonnaga (CERT). CERTi juht Tõnu Tammer ütles, et nende osakond kontrollis veebikeskkonnaga seotud riske ja võttis ühendust portaalipidajaga. Tammer möönis,  et Eestis on veel palju veebilehti ja e-postiserverid seadistatud puudulikult, millele CERT püüab tähelepanu tõmmata.

Nutisport.eu juhtiv Kalev Põldsaar aga andis Geeniusele tähtajaks, et väikeste ressursside ja töövälisest ajast tegutsemise tõttu pole veebilehe turvalisuse parandamine võimalik enne 8. aprilli.