Tõsine turvaauk: SEB internetipanka sai sisse ainuüksi kasutajanimega

 (94)
Lisatud SEB kommentaar

SEB internetipangas oli turvaauk, mille kaudu oli võimalik panka sisse logida üksnes inimese kasutajanime teades. Kui infoturbeekspert veast maikuus panka teavitas, võttis selle parandamine aega kolm päeva.

Vea leidnud Tartu ülikooli informaatikateaduskonna doktorant Arnis Paršovs tegi selle väärkasutamisest ka demonstratiivse video. Sellest on näha, et SEB internetipanka sisselogimiseks oli vaja ainult tema kliendikonto kasutajanime ja ID-kaardi avaliku võtme sertifikaati – see on internetis kõigi Eesti ID-kaardi kasutajate kohta avalikult saadaval.

Nii sai sisse logida internetipanka ja vaadata seal kliendiandmeid, näiteks kontojääki või -väljavõtet. Ent sama viga sai ära kasutada ka pangalingis seoses teiste e-teenustega, mis kujutas endast palju laiemat ohtu. Nimelt on pangalink keskne viis, kuidas inimesed ent internetis tuvastavad ja lähevad edasi teisi e-teenuseid kasutama või teevad seal makseid.

Näiteks demostreerib Paršovs, kuidas on võimalik Tallinnas kasutatavale ühiskaardile raha laadida. Selleks tuleb pilet.ee keskkonnas teada kaardi number ja soovitav summa, edasi tuleb makse teha SEB pangalingi kaudu.

Ligipääs kõigile Eesti e-teenustele

Seotud lood:

Selles SEB pangalingis piisab jällegi kliendi kasutajanimest ja avalikust sertifikaadist, et tema pangakontolt raha hoopis võõrale ühiskaardile liigutada. Vea ohtlikkuse näitlikustamiseks tegi Paršovs pangast ühe-eurose ülekande ühiskaardile.

Loe veel

Videos on ka näha, kuidas teise kodaniku avalike andmete põhjal saab läbi SEB internetipanga minna teisi e-teenuseid kasutama, s.h ka riigiportaali eesti.ee.

Tuleb tähele panna, et turvaauk ei puudutanud neid teisi keskkondi nagu eesti.ee, vaid SEB internetipanka, kuhu sai volitamata isik siseneda. Kuna SEB pank tuvastas volitamata isiku kui sisseloginud kliendi, siis sai sealt edasi selle kliendina minna teisi e-teenuseid kasutama.

Sama viga oli Swedbankis

Turvaauk on nüüdseks parandatud, kuid ekspert avaldas üllatust, et niivõrd kriitilise probleemi lahendamine võttis nii kaua aega. Nimelt teavitas Paršovs veast Eesti infoturbe intsidentide meeskonda (CERT) 11. mail, aga viga parandati alles 14. mail.

Paršovsi sõnul pole tal andmeid, et sama viga esineks ka teistes Eesti pangalinkides. "Kui ma [2013. aastal] pangalinke uurisin, oli sama viga ainult Swedbanki ID-kaardi autentimisel," kommenteeris Paršovs Fortele. Toonane Swedbanki viga parandati. "Siis [2013. aastal] ei olnud SEB internetipangas seda viga, ilmselgelt tegi pank mingeid muudatusi, millega viga tekkis," selgitas ta.

"SEB pole minuga vea suhtes ühendust võtnud," selgitas Paršovs. "Küsimus, millest probleem tuli ja miks selle parandamine nii kaua aega võttis, pole CERT vastanud," lisas ta.

"Viidatud turvaküsimus eksisteeris nö laboratooriumi tingimustes ehk selleks oli vaja mitmete tingimuste kokkulangemist ja erialaseid teadmisi," ütles SEB turunduse ja kommunikatsiooni divisjoni juht Silver Vohu. "Turvaküsimus sai lahendatud ja samuti kontrollitud, et seda viga ei olnud keegi pahatahtlikult ära kasutanud."

Jäta kommentaar
või kommenteeri anonüümselt
Postitades kommentaari nõustud reeglitega
Loe kommentaare Loe kommentaare

FORTE TOP

Viimased uudised