RIA aastaraport: Eesti.ee portaalis haigutas mitu aastat turvaauk, mis võimaldas sisse logida teise kasutajana
Riigi Infosüsteemi Amet (RIA) kirjutas oma aastaraportis, et eesti.ee portaali sai läbi pangalingi sisse logida teise kasutajana. Tõenäoliselt juba 2015. aastal tekkinud turvaauk paigati alles eelmise aasta juunis.
"Turvanõrkus seisnes selles, et eesti.ee portaal ei kontrollinud pangalingi kaudu saadud autoriseerimispäringu puhul, kas see oli allkirjastatud panga antud võtmega ning kas see vastas pangalingi tehnilisele kirjeldusele," selgitati probleemi olemust aastaraportis.
Tänu probleemile saanuks logija siseneda teise inimesena, kui oleks loonud pangalingi poolse valekinnituse ja saata see eesti.ee portaalile sisselogimise kinnituseks. RIA hinnangul oleks sellise rünnaku läbiviimine aga nõudnud põhjalikke tehnilisi teadmisi.
RIA sõnul võttis probleemi lahendamine aega neli päeva, mille vältel oli pangalingi abil eesti.ee portaalile ligipääs keelatud. Ameti hinnangul ei olnud tegemist pahatahtliku veaga, vaid arendaja ja RIA-poolse hooletusega. "Viga tulenes eesti.ee aegunud platvormist ega olnud seotud ühegi panga ega teise e-teenusega," kirjutati raportis.
Amet uuris ka, kas turvaauku oli pahatahtlikul eesmärgil kasutatud ning pärast mitmepäevast logide kontrolli jõuti tulemusele, et tõenäoliselt keegi turvaauku ära kasutanud ei ole. Pärast turvaaugu paikamist ning logide kontrollimist lisati 4. juulil taas võimalus pangalingi abil eesti.ee teenustesse logida.
RIA tänas raportis küberkogukonda, tänu kellele ohtlik turvaauk avastati.