ID-kaardi brauserilaienduses avastati kriitiline turvaviga

Riigi Infosüsteemi Amet (RIA) andis avastusest teada täna, 3. veebruaril, ent viga avastati juba mullu detsembris.

Hilise teatamise põhjus peitub selles, et RIA sai jaanuari lõpus valmis plugina tarkvarauuenduse, milles kriitiline viga parandatud. ID-tarkvara (ID-Updater) annab nüüdsest kasutajatele märku, kui on vaja tarkvara uuendada. Kui tarkvara veel ei kuva automaatse uuendamise teadet, siis saab uue versioon alla laadida ID.ee kodulehelt.

Brauserilaienduse uuendamise järel peavad osad e-teenused omapoolseid muudatusi tegema. See tähendab, et seni kuni pole e-teenus värskeid uuendusi sisse viinud, ei saa sinna ID-kaardiga sisse logida.

Suuremad e-teenuse pakkujad on tänaseks vajalikud uuendused teinud ning ID-kaardi kasutamine ei ole neis teenustes seetõttu häiritud.

Viga avastati niisiis veebilehitseja pluginas ehk programmis, mida kasutatakse ID-kaardiga e-teenusesse digiallkirja andmiseks Chrome'i, FireFoxi, Safari, Internet Exploreri Edge'I ja Edge Chromiumi veebilehitsejas.

Kurjategija saanuks pistikprogrammi nõrkust ära kasutada, kui ta kas võtab üle või omab veebilehte, kus saab ID-kaardiga autentida. Kui kasutaja logib ründaja kontrolli all olevasse portaali ID-kaardiga, siis ründaja saanuks kasutada autentimistoimingu infot, et kasutaja nimel sisse logida mõnda teise e-teenusesse ilma, et ta seda teaks.

„RIAle teadaolevalt ei ole nõrkust ära kasutatud ning ükski kasutaja ei ole tänase info kohaselt kahju kannatanud. Turvaviga on parandatud ning kasutajad ei pea muretsema," ütles RIA elektroonilise identiteedi osakonna juht Mark Erlich.

Tema sõnul polnud nõrkus selline, millele võinuks kurjategijad lihtsalt otsa komistada, vaid selle avastamiseks tuli vaeva näha ning teoreetiliseks kuritarvitamiseks oli vaja ka omada kontrolli veebilehe üle, kus saab end ID-kaardiga autentida.

„Paraku on digimaailmas üsna tavaline, et aeg-ajalt avastatakse turvanõrkusi, mis siis kiiresti parandatakse," lisas Erlich.