Uudis

Toimus Eesti ajaloo suurim e-poe andmeleke: ripakil olid 14 000 eestlase isikuandmed

CERT-EE juhile Tõnu Tammerile teadaolevalt on tegu ajaloo suurima e-poe andmelekkega Eestis.Foto: Pixabay

Täna kella poole kolmeni oli veebis kõigile huvilistele lihtsasti leitav e-poe Charlot (charlot.ee) andmebaas, mis sisaldas umbes 14 000 eestlase isikuandmeid.

Isikuandmed olid avaldatud tavaliste tekstidokumentidena ja need olid leitavad lihtsalt guugeldades. E-poodi pidava ettevõtte juht teatas esialgu, et andmeleket ei saa olla toimunud, kuid hiljem tunnistas seda. Lekkinud failid on praeguseks internetist kõrvaldatud.

Riigi infosüsteemi amet pakub ettevõtjale igakülgset abi ning andmekaitse inspektsioon ootab, et ettevõtja edastaks neile 72 tunni jooksul rikkumisteate.

Eesti ajaloo suurim e-poe andmeleke

Geeniuse toimetuseni jõudis informatsioon läbi anonüümse vihje, vihjaja sõnul komistas ta andmebaasi otsa läbi Google’i otsingumootori. Vihje kontrollimise järgselt selgus, et lisaks Eesti e-poe klientidele on lekkinud ka Läti, Leedu ja Venemaa klientide andmeid.

Kuvatõmmis lekkinud andmebaasis olnud failidest.Foto: Kuvatõmmis/Geenius.ee

E-poodi haldava ettevõtte Charlot OÜ tegevjuht Kuno Pindmaa kuulis andmelekkest ajakirjaniku käest. Lekke kohta käiva informatsiooni edastas ajakirjanik riigi infosüsteemi ametile (RIA-le), kes võttis kohe ühendust ka ettevõtjaga.

Lekke hulka kuulusid klientide ees- ja perenimed, telefoninumbrid, meiliaadressid, e-poes kasutatud paroolid, aadressid ning teatud juhtudel ka isikukoodid. RIA intsidentide käsitlemise osakonna CERT-EE juhile Tõnu Tammerile teadaolevalt on tegu ajaloo suurima e-poe andmelekkega Eestis.

“CERT-EE võttis ühendust e-poe omanikuga ning palusime neil kohe reageerida. Leidsime leheküljelt veel teisigi puudujääke turvalisuses ning palume poepidajal ka need kõrvaldada. Aitame e-poodi, et need andmed ei oleks avalikud,” ütles Tammer.

Tammeri esmasel hinnangul tundub, et tegemist oli hooletusest tingitud lekkega. Hetkel ei ole teada, kui kaua olid failid internetis avalikult kättesaadavad. Kõige vanemad failid, mis andmebaasis olid, pärinevad tänavu jaanuarist ning värskemaid tänasest päevast.

“Kataloogide sisu on indekseeritav ja kataloogid paistavad välja avalikku internetti. Sellist olukorda saab vältida kui poepidaja testiks regulaarselt oma e-poe turvalisust, sest sellised apsakad võiksid just turvatestimise raames välja tulla. Kindlasti ei tohi kataloogide ja sisu kuvamine olla lubatud,” lisas ta.

CERT-EE juhi sõnul on ettevõtte palunud RIA-lt abi olukorra lahendamiseks ning täpsemate asjaolude väljaselgitamiseks.

Kuvatõmmis lekkinud andmebaasi sisust. Inimeste nimed, aadressid, telefoninumbrid ning muu info on hägustatud.Foto: Kuvatõmmis/Geenius.ee

Pindmaa jäi oma vastustes napisõnaliseks, kuid lubas, et ettevõte uurib leket edasi ning on omalt poolt informeerinud ka andmekaitse inspektsiooni.

E-pood vastutab kõikide inimeste ees, kelle andmeid nad töötlevad

Andmekaitse inspektsiooni (AKI) avalike suhete nõuniku Signe Heibergi sõnul on säärase andmete lekke järgselt andmetöötlejal aega 72 tundi edastada AKI-le talle teadaolevate asjaolude alusel rikkumisteade, kus ta annab teada, mis juhtus ja mida on ta isikuandmete kaitse riive lõpetamiseks ettevõtnud.

Andmete lekke olukorra teeb küll veidi keerulisemaks see, et andmed olid avalikult postitatud veebiaadressil charlot.lv ehk Läti domeenile ning AKI esmahinnangu põhjal on e-pood registreeritud hoopis Leedu Vabariigis, mis tähendab, et e-pood peab teavitama Leedu andmekaitse järelevalveasutust.

“Andmetöötleja vastutab kõikide inimeste ees, kelle andmeid ta töötleb. See tähendab, et andmetöötleja peab kasutama kõiki talle teadaolevaid ja kättesaadavaid vahendeid, et lõpetada võimalikult kiiresti riive inimeste privaatsusele,” ütles ta.

Kuvatõmmis lekkinud andmebaasi sisust. Inimeste nimed, aadressid, telefoninumbrid ning muu info on hägustatud.Foto: Kuvatõmmis/Geenius.ee

AKI-le teadaolevalt ei ole e-poodide andmelekkeid Eestis palju esinenud, kuid eelmisel kuul oli juhus, kus ühe e-poe klient leidis enda andmed avalikult Google’i otsingu läbi. Tuletame meelde, et täpselt samamoodi jõudis lekkinud andmebaasini ka Geeniuse toimetuseni vihje saatnud inimene.

Lisaks charlot.ee e-poele kuuluvad sama ettevõtte alla Knopka ja Charlot kauplused üle terve Eesti.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.