Valus õppetund: ID-kaardi viimatise turvavea tekitasid eestlased ise

RIA teatas möödunud nädalal avalikkusele saadetud pressiteates: „Detsembris teatas RIA partnerasutus nõrkusest veebilehitseja pluginas ehk programmis, mida kasutatakse ID-kaardiga e-teenusesse digiallkirja andmiseks Chrome'i, FireFoxi, Safari, Internet Exploreri Edge'I ja Edge Chromiumi veebilehitsejas. Kurjategija saanuks pistikprogrammi nõrkust ära kasutada, kui ta kas võtab üle või omab veebilehte, kus saab ID-kaardiga autentida. Kui kasutaja logib ründaja kontrolli all olevasse portaali ID-kaardiga, siis ründaja saanuks kasutada autentimistoimingu infot, et kasutaja nimel sisse logida mõnda teise e-teenusesse ilma, et ta seda teaks."

Forte asus asja lähemalt uurima, kuna ID-kaardiga otseselt seotud tarkvaraarendused ei ole kusagil välismaal toodetud kiibid, mille üle Eesti riigil otsene kontroll puudub - neid tehakse ikkagi riigi enda tellimusel ja järelevalve all.

Selgus tõsiasi, et nii ongi. Selgus ka see, et avastatud turvanõrkus eksisteeris juba aastast 2017.

„2017. aasta keskel valmis uus versioon veebis allkirjastamise komponendist (nn pluginast), milles oli täiendav funktsioon autentimissertifikaatide toega. See tugi ei olnud Eestis kasutamiseks mõeldud ega ka toetatud - ehk dokumentatsioonis puudus viide ja juhised sellele toele. Tegemist oli Leedu ID-kaartide toetamiseks tehtud näidislahendusega, mille arendas RIA lepinguline arenduspartner," selgitas RIA eID osakonna juht Mark Erlich.