RIA: Turvaaugu tõttu oli võimalik riigiportaali logida teise nimel

Riigi Infosüsteemi Amet (RIA) tunnistas üles möödunud aasta suvel Eesti riigiportaalis eesti.ee ilmsiks tulnud lubamatu turvaaugu, mistõttu oli pangalingi abil võimalik logida portaali kellegi teise nimel.

Pilt: Scanpix/ Illustreeriv foto. Turvaauku võivad ära kasutada pahatahtlikud häkkerid

RIA: Turvaaugu tõttu oli võimalik riigiportaali logida teise nimel

Toimetaja: Moonika Tuul

Riigi Infosüsteemi Amet (RIA) tunnistas üles möödunud aasta suvel Eesti riigiportaalis eesti.ee ilmsiks tulnud lubamatu turvaaugu, mistõttu oli pangalingi abil võimalik logida portaali kellegi teise nimel.

Signaal autentimisveast riigi keskses portaalis laekus ametnikele 29. juunil. Informeerijaks olid ühe Eesti asutuse küberturvalisuse eksperdid, kes olid suutnud tõestada, et pangalingi abil on võimalik portaali sisse logida kellegi teise nimel, vahendas BNS Postimeest.

Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele.

Leitud viga võimaldas portaali sisenemist teise inimese nimel juhul, kui sisselogija lõi pangalingi tehnilise kirjelduse järgi ebakorrektse pangapoolse kinnituse ise ja suutis selle saata eesti.ee portaalile sisselogimise kinnituseks.

"Saades aru olukorra tõsidusest, sulgesime riigiportaali sisenemise pangalingi kaudu ning asusime tuvastatud viga parandama ja riski maandama, mis võttis meil aega neli päeva," andis RIA oma esitletud küberturvalisuse aastaraamatus teada.

Amet tunnistas, et viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega.

"Hilisemal uurimisel selgitasime välja, et kirjeldatud viga tekkis ilmselt 2015. aasta oktoobris portaali baastarkvaras tehtud muudatuste ja uue pangalingi kasutuselevõtmise käigus. Tegemist ei olnud pahatahtliku veaga, vaid arendaja ja RIA kui tellija hooletusega," tunnistas amet.

RIA kontrollis üle kõik riigiportaali sisenemise logid alates eeltoodud muudatuse tegemisest ning ei tuvastanud midagi, mis viitaks sellele, et turvanõrkust oleks ära kasutatud.

"Kellegi andmed ei olnud kättesaadavad ning kellegi teise nimel sisselogimisi ei fikseeritud. Pärast mitmepäevast intensiivset tööd ja ka välisekspertide läbiviidud turvateste taastasime 4. juulil uuesti riigiportaali sisenemise pangalingi kaudu," märkis amet.

Laadimine...Laadimine...