Kaks ettevõtet ja üks omavalitsus teatasid Riigi Infosüsteemi Ametitile (RIAle), et nende andmed ja tehingud olid internetis avalikud ja neile oli võimalik ligi pääseda. Kokku olid veebis kättesaadavad vähemalt 34 000 inimese ja 100 000 tehingu andmed.
Avalikult oli võimalik ligi pääseda e-poe charlot.ee ja Tartus rattaringlust pakkuva Bewegeni kasutajate andmetele ning 100 000-le Olerexi ärikliendi tehingutele. „Esialgsel hinnangul olid andmed avalikud inimlike vigade tõttu. RIA alustas siiski kõigi kolme osapoole suhtes järelevalvemenetlust, et selgitada välja, kas nende infosüsteemid on nõuetekohaselt kaitstud,“ ütles RIA küberturvalisuse teenistuse juht Uku Särekanno.
RIA intsidentide käsitlemise osakond (CERT-EE) sai 9. juuli õhtul Olerexilt info, et kolimise tõttu olid avalikult kättesaadavaks jäänud ligikaudu 100 000 ärikliendi toimingut ehk info äriklientide tehingute kohta. „Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed ei olnud kättesaadavad. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli,“ rääkis Särekanno. Olerex kontrollis üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.
Ta lisas, et Olerexi sõnul olid avalikud andmed viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti. „Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla,“ sõnas Särekanno.
Info teisest suuremast vahejuhtumist jõudis RIAni samuti 9. juulil, kui Tartu linnavalitsus andis teada rattaringlust pakkuva ettevõtte Bewegeni andmebaasi turvanõrkusest. Selle tõttu oli võimalik rattaringluse käivitamise algusest kuni 9. juulini, mil viga parandati, autentimata ligi pääseda natuke rohkem kui 20 000 kasutaja andmetele. Kättesaadavad olid kasutajate nimi, meiliaadress, telefoninumber ja kasutaja ID, mis võimaldas näha, kus ta liikus. Kättesaadavad olid 7180 kasutaja isikukoodid, kuna nende konto oli ühendanud ka bussikaardiga.
Ajaliselt esimesest andmelekkest sai RIA tänu ajakirjanikule teada 3. juulil. Avalikud olid ligikaudu 14 000 Charloti e-poe kasutaja isikuandmeid sisaldavad kataloogid. „Kuna avalikud olid telefoninumbri, nimede ja aadressi kõrval ka kasutajate meiliaadressid ja e-poe parool lihttekstina, siis peavad Charloti kasutajad oma paroole vahetama. On enam kui tõenäoline, et e-poodi sisse logimiseks mõeldud parool oli ka teistes keskkondades kasutusele. Kui need andmed jõuavad küberkurjategijateni, siis nad saavad meiliaadressi ja parooli teades logida ka teistesse keskkondadesse sisse,“ toonitas Särekanno.
„Kõik inimesed ja ettevõtted peavad suhtuma andmekaitsesse täie tõsidusega. Inimesed peaksid hoolega jälgima, kuhu ja mis andmeid nad edastavad, sest peale edastamist nad enam oma andmeid ei kontrolli. Ettevõtetele on soovitus, et testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi. Kõik see on kordades odavam, kui hilisemate tagajärgedega tegelemine,“ lisas Särekanno.
Olerex andis 12. juulil RIA-le teada, et nende klientide andmeid ei ole kuritarvitatud. Olerexi kinnitusel laaditi andmed alla ühel korral ja ühe inimese poolt. Samuti andis ettevõte teada, et tundlike isikuandmete leket nende andmebaasist ei ole toimunud ja ühe inimese poolt alla laaditud andmekogum on tänaseks hävitatud. Andmekogu sisaldas andmeid, mis olid kasutuses töös äriklientidega ja mis on suures osas kättesaadavad paljudest avalikest, sealhulgas riiklikest andmebaasidest. Olerexi hinnangul vastavad nende rakendatud infoturbemeetmed nõuetele. Selle selguse annab RIA 15. juulil alustatud järelevalvemenetlus.
Soovitused ettevõtetele, kuidas andmeid kaitsta:
- Testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi;
- Kasutage usaldusväärset e-poe platvormi, kus on tagatud regulaarne tarkvara uuendamine;
- Veenduge, et veebileht ja selle alamlehed kasutavad üksnes HTTPS ja HSTS protokolle. Kontrollige üle, et lehtedel ei oleks komponente, mis on ligipääsetavad HTTP protokolliga
- Veenduge, et paroole ei salvestataks kunagi ning paroolid oleks räsitud (parooli on võimalik kontrollida, aga mitte välja lugeda). Teised tundlikud andmed peaksid olema veebilehe süsteemis krüpteeritud. Kui klient on parooli unustanud, ei tohi veebilehe tarkvara saata talle parooli lahtise tekstina e-kirjas;
- Veebilehe turvalisuse ülevaateks soovitame kasutada ka avalikke tööriistu, seal hulgas
Hardenize’i. See tööriist näitab ja kirjeldab kõige elementaarsemaid asju ehk millised sammud on veebilehe turvalisuse jaoks astutud, millised mitte.
Allikas: RIA
Seotud lood
Eraisiku e-posti aadress on samasugune isikuanne nagu kodune aadress ja üldreeglina ilma inimese nõusolekuta seda avaldada ja jagada ei tohi.
Järjest rohkemate tegevuste ja andmete liikumine küberruumi, sh arveldamine ja klientide andmebaasid on tekitanud terve küberkurjategijate tööstusharu, mis küberruumis olevatelt väärtuselt üritab matti võtta. Kõige haavatavamad on ettevõtted, kelle käsutuses on enim andmeid, enim väärtuslikke andmeid ja need, kellel on puudulik küberhügieen, kirjutab Grant Thornton Balticu andmekaitsespetsialist Maili Torma.
Eesti ettevõtted kannatavad vähekaitstud meiliserverite ja –süsteemide tõttu igakuiselt tuhandeid eurosid kahju. AKI ja RIA tuletavad ettevõtetele meelde, et nende kasutatavad meiliserverid oleksid häälestatud tagama e-kirjade usaldusväärsust ning kasutaksid vaid krüpteeritud andmeedastust ja sisse logimist.
Kõrgel Austria mägedes asub keskaegne Hochosterwitzi kindlus. Imposantne mäetipus trooniv hiiglaslik loss on tuntud ka ühe huvitava fakti poolest: see on üks väheseid kindluseid kogu maailmas, mida pole kunagi suudetud vallutada.
Tänu tehnoloogia ja panganduse kiirele arengule on eestlased harjunud sellega, et nende maksed jõuavad ühest pangast teise vaid mõne sekundiga. Ligikaudu 90% kõigist maksetest Eestis toimuvad välkmaksetena. Ent aeg-ajalt võib juhtuda, et peame ootama tunde või isegi päevi, enne kui makse liigub soovitud suunas. Selliste olukordade vältimiseks saab maksja ise palju ära teha, kirjutab Coop Pangaärikliendi igapäevapanganduse juht Erje Mettas.