Uudis

Uus suur andmeleke: Olerexi andmebaasist lekkis kuni 100 000 tehingu info

Olerexi tankla. Foto: Scanpix

Tanklaketi Olerex turvaaugu tõttu said kurjategijad ligi hinnanguliselt 100 000 tehingu infole, millega koos said kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni.

Turvaauk lapiti teisipäevaks, kuid andmebaasi jõuti eelnevalt alla laadida 71 korral.

“Hinnanguliselt käib jutt 100 000 tehingu andmest, peaasjalikult äriklientide nimed, isikukoodid, kütusekaardi limiidid ja muud andmed. See on üsna ulatuslik leke. Meile teadaolevalt on andmeid ka 71 korral alla laetud, mis on üsna murettekitav,” ütles riigi infosüsteemi ameti (RIA) peadirektori asetäitja Uku Särekanno lehele.

Krediitkaardi numbreid praeguse info kohaselt lekkinud andmete seas ei ole. Särekanno sõnul viitavad asjaolud, et kurjategijad avastasid kliendiandmete avaliku kättesaadavuse tõenäoliselt robototsinguga.

RIA intsidentide käsitlemise osakond (CERT-EE) sai 9. juuli õhtul Olerexilt info, et kolimise tõttu olid avalikult kättesaadavaks jäänud ligikaudu 100 000 ärikliendi toimingut ehk info äriklientide tehingute kohta.

“Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed ei olnud kättesaadavad. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli,” rääkis Särekanno.

Olerex kontrollis üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.

Ta lisas, et Olerexi sõnul olid avalikud andmed viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti.

“Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla,”sõnas Särekanno.

Kokku oli andmebaas interneti kaudu leitav poolteist kuud. Millise perioodi tehingud ja kliendiinfo varastatud andmebaasi kuulus, pole veel selge.

Geeniusele teadaolevalt täitis Olerex küberturvalisuse seadusest tulenevat punkti, mille kohaselt peab andmelekkest RIAt informeerima hiljemalt 24 tundi pärast sellest teada saamist.

Toimunu asjus on Olerexi suhtes menetlust alustanud riigi infosüsteemi amet. Sarnaselt charlot.ee e-poe lekkele alustas RIA Olerexi osas menetlust vastavalt küberturvalisuse seadusele.

Märksõnad: , ,

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.