Majandus- ja kommunikatsiooniministeeriumi (MKM) puhul oli juba varem teada, et kurjategijate saagiks langes lisaks MKMile ka maanteeameti, tehnilise järelevalve ametile, tarbijakaitseametile ja lennuameti dokumendiregistrite sisu.

MKM on tänaseks tuvastanud, et ligi 350 GB andmed sisaldasid aastate 2008-2017 andmeid ning täpsemalt said häkkerid ligi GoPro nimelisele dokumendiregistrile aadressiga https://adr.mkm.ee/. See keskkond oli pühapäeva hommikuse seisuga hooldustöödeks jätkuvalt suletud.

Häkkerid tegutsesid tõenäoliselt huupi, kuna kopeerisid veebiserverist alla täies mahus selliste riigiveebide sisu nagu www.consumer.ee, www.ecaa.ee, www.komisjon.ee, www.ojk.ee. www.egt.ee, www.ostatargalt.ee, www.ttja.ee ja www.energiatalgud.ee.

„Tänaseks on olukord stabiliseerunud ning tegeleme aktiivselt süsteemide uuendamise ja täiendavate infoturbemeetmete rakendamisega, et hoida ära uusi rünnakuid," ütles Fortele MKMi esindaja Laura Laaster.

Sel nädalal tuli ilmsiks, et ka Terviseameti infosüsteemid olid sedavõrd halvasti kaitstud, et häkkeritel õnnestus novembris internetis laialt levinud töövahendite abil siseneda asutuse veebiserverisse ja varastada sealt andmebaasi, milles oli 9157 inimeste delikaatsed isikuandmed.

Terviseameti pressiesindaja Simmo Saar tunnistas Fortele, et neid andmeid oli riigi poolt kogutud haiguste levikuteede väljaselgitamiseks inimeste „epidemioloogilise intervjueerimise käigus".

„Selgitan lisaks, et andmed on sisuliselt fragmenteeritud ehk kõikide 9158 inimese kohta ei ole ühetaolised andmekomplektid, vaid üksnes see info, mis on olnud oluline konkreetse juhtumi puhul oluline fikseerida," ütles Saar.

Seda, kas info võis sisaldada inimeste koduseid aadresse, isikukoode, telefone või terviseandmeid, terviseamet avalikult tunnistama ei ole nõus.

Rünnaku ohvriks langesid ka välisministeerium ja Eesti geoloogiateenistus.

Välisministeeriumi pressiesindaja Britta Tarvis kinnitas Fortele, et Eesti välispartnerite tundlik informatsioon kurjategijate kätte ei pääsenud.

„RIA tuvastas kolm kuritegelikku rünnet Eesti riigi IT-taristu vastu, millest üks puudutas ka välisministeeriumi haldusala välisveebi www.mfa.ee ja www.vm.ee servereid ja nendes paiknevaid teenuseid. Töökohtade võrku ja sisevõrgus olevaid teenuseid see ei puudutanud. Antud intsidendis kopeeriti avalikelt lehtedelt materjale, mis on nagunii avalikult kättesaadavad. Asutusesiseseks kasutamiseks (AK) mõeldud dokumente ega tundlikke isikuandmeid välisministeeriumist kätte ei saadud," ütles Tarvis.

Aimu sellest, kuidas küberkurjategijad võisid serveritele ligi saada, annab RIA kiri kõigile elutähtsate teenuste osutajatele. Selles juhitakse tähelepanu, et tähelepanu on vaja pöörata järgnevatele nõrkustele veebiserverites (järgneb tsitaat kirjast):

  • standardrakendustes (nt Drupal) erinevad kriitilised nõrkused, mis on peamiselt põhjustatud vananenud/uuendamata tarkvarast;
  • mittestandardsete tarkvara puhul on avalikult kättesaadav veebitarkvara kood .git kataloogi kaudu jäetud kättesaadavaks. Lisainfo, miks .git kataloogi ei tasuks kättesaadavana hoida: https://iosentrix.com/blog/git-source-code-disclosure-vulnerability/
  • veebirakenduses on ebavajalikke admin õigustes kontosid, mis võivad olla lekkinud ning admin õigustes tegevused ei ole IP piiranguga kaitstud;
  • veebiserverite vähene/ebaturvaline eraldatus ülejäänud infosüsteemist ehk segmenteerimine on puudulik;
  • veebiserveri andmebaasis andmete hoidmine, mis peaks tegelikult olema hoiustatud infosüsteemi kaitstumates osades.a

Juhtumi uurimiseks on alustatud kriminaalmenetlust.