Kiri: sellise teate said täna hommikul Eesti politseilt 286 438 küberkuriteo ohvrit
(213)Nüüdseks tuvastatud kurjategija laadis riigi infosüsteemi ameti (RIA) fototeenuse turvapraaki ära kasutades inimeste dokumendifotosid alla ajavahemikul 12. juulist 21. juulini. Selle tulemusel moodustus tal andmebaas inimeste nimedest, isikukoodidest ja fotodest.
Politsei kinnitab allolevas kirjas süüteo ohvritele, et dokumendi foto, nime ja isikukoodi põhjal ei ole võimalik võltsida ühegi inimese digitaalset identiteeti. Uurijatel ei ole praeguseks andmeid, kas alla laaditud fotosid pahatahtlikult ära kasutati.
PPA ja RIA on seni keeldunud avalikustamast, millisest andmebaasist pärinesid sadade tuhandete ohvrite nimed ja isikukoodid, mis olid sattunud kurjategija valdusesse enne, kui asus nende fotosid alla laadima. Tõenäoliselt oli tegemist eelkuriteoga mõne riikliku andmebaasi suhtes või siis pärinesid andmed RIAga seotud andmebaaside teisest hiljutisest suurest infolekkest, mis tuli ilmsiks vahetult enne süütegu ja millest kirjutasime siin.
Kiri ise näeb välja selline:
---------- Forwarded message ---------
Saatja: Politsei- ja Piirivalveamet
Date: N, 29. juuli 2021 03:23
Subject: Info dokumendifoto ebaseadusliku allalaadimise kohta
To: <***@eesti.ee>
Hea kirjasaaja
21.07.2021 tuvastasid Riigi infosüsteemi ameti (RIA) eksperdid ebaseadusliku dokumendifotode alla laadimise isikut tõendavate dokumentide andmekogust. Alla laaditi 286 438 inimese dokumendifotod. Küberintsidendi tagajärjel ei olnud võimalik ligi pääseda isikut tõendavate dokumentide andmekogule, vaid kasutades ära turvanõrkust RIA hallatavas rakenduses ja tehes oskuslikult võltsitud päringuid õnnestus kätte saada üksnes dokumendifoto.
Samal päeval kui andmete alla laadimine avastati, kõrvaldati viga, mis seda võimaldas. Politsei tuvastas ja pidas andmete alla laadimises kahtlustatava kinni ning selle juhtumi osas alustati kriminaalmenetlust.
Käesoleva kirjaga teavitame Teid, et rünnaku tagajärjel laaditi alla ka Teie foto. Samas kinnitame Teile, et:
- dokumendi foto, nime ja isikukoodi põhjal ei ole võimalik võltsida ühegi inimese digitaalset identiteeti;
- nende andmete põhjal ei ole võimalik siseneda ühessegi riigi e-teenusesse, teha notariaalseid jm rahalisi tehinguid;
- nende andmete vargus ei mõjuta kuidagi ühtegi füüsiliselt ega digitaalselt kasutatavat dokumenti ehk ID-kaarti, elamisloakaarti, mobiil-ID-d ega Smart-ID-d;
- kõik Eesti e-teenused töötavad turvaliselt ning ükski inimene, kelle foto oli alla laaditud, ei pea endale uut dokumenti taotlema.
Politsei- ja Piirivalveamet on esitanud teate intsidendi kohta Andmekaitse Inspektsioonile. Praegusel hetkel ei ole politseil andmeid, et alla laaditud fotosid pahatahtlikult ära kasutati. Kui kahtlustate, et Teie andmeid on kuritarvitatud, tuleb sellest teatada politseile läbi avalduse esitamise https://www.politsei.ee/et/avaldus-politseile.
Kui Teil on küsimusi võimalike tagajärgede kohta, siis palume ühendust võtta RIA-ga. Täpsemat informatsiooni intsidendi kohta leiab RIA kodulehelt.
Lugupidamisega
Politsei- ja Piirivalveamet
www.politsei.ee
Tegemist on automaatteavitusega, palume sellele mitte vastata.
Уважаемый получатель письма
21.07.2021 эксперты Департамента государственной инфосистемы (RIA) выявили незаконное скачивание фотографий на документы из базы данных удостоверяющих личность документов. Были загружены фотографии документов 286 438 человек. В результате киберинцидента не был получен доступ к базе данных удостоверяющих личность документов, однако, использовав слабое место в приложении, которым управляет RIA, и умело подделывая запросы, преступник сумел получить только фотографии на документы.
В тот же день, когда было обнаружено скачивание данных, была устранена и ошибка, сделавшая возможной утечку. Полиция установила и задержала подозреваемого в скачивании данных, по этому делу начато уголовное производство.
Настоящим письмом уведомляем Вас, что в результате инцидента была скачана и Ваша фотография. В то же время уверяем Вас, что:
- на основании фотографии, имени и личного кода невозможно подделать электронно-цифровую идентичность человека;
- на основании этих данных невозможно войти ни в одну электронную услугу государства, совершать нотариальные или иные денежные сделки;
- кража этих данных никоим образом не влияет ни на один используемый физически или дигитально документ, т.е. ID-карту, карту вида на жительство, mobiil-ID или Smart-ID;
- все электронные услуги Эстонии работают безопасно, ни одному человеку, чьи фото были скачаны, не надо ходатайствовать о выдаче нового документа.
Департамент полиции и пограничной охраны сообщил об инциденте Инспекции по защите данных. В настоящий момент у полиции нет данных о злонамеренном использовании скачанных фотографий. Если Вы подозреваете, что Вашими данными злоупотребили, сообщите об этом полиции, подав заявление https://www.politsei.ee/ru/podacha-zayavleniya-v-politsiyu.
Если у Вас есть вопросы по поводу возможных последствий, пожалуйста, свяжитесь с RIA. Более точная информация об инциденте имеется на сайте RIA.
С уважением
Департамент полиции и пограничной охраны
www.politsei.ee
Пожалуйста, не отвечайте на это письмо, так как оно сгенерировано автоматически.
Dear Sir or Madam,
On 21 of July 2021 the experts of the Estonian Information System Authority (RIA) detected illegal downloading of document photos from the database of identity documents. The document photos of 286 438 people were downloaded. As a result of the cyber incident, it was not possible to access the database of identity documents, but only a document photograph could be retrieved, by taking advantage of a weakness in the security of an application managed by the Information System Authority and by making skilfully falsified queries.
On the same day the data download was detected, the error that allowed for the download of the data, was fixed. The police has identified and detained the person, who is suspected of having downloaded the data, and has commenced a criminal proceeding.
With this letter, we would like to inform you that as a result of the cyber attack, your photo has also been downloaded. However, we would like to assure you that:
- it is not possible to falsify any person's digital identity based on a document photo, a name and a personal identification code;
- with these data it is not possible to access any state e-services, carry out any notarial and other financial transactions;
- theft of these data has no effect on any physical or digitally used document, i.e. the ID-card, the residence permit, the Mobile-ID or the Smart-ID;
- all Estonian e-services are safe and no person, whose photo was downloaded needs to apply for a new document.
Estonian Police and Border Guard Board has submitted a notice concerning the incident to the Data Protection Inspectorate. At this time the police does not have information about the downloaded photos having been used with malicious intent. If you suspect that your data has been misused, you should inform the police by sending an electronic report using the following link: https://www.politsei.ee/en/report-to-police.
If you have any questions about the potential consequences, please contact the Information System Authority (RIA). More detailed information about the incident can be found on the RIA website.
Best regards,
Estonian Police and Border Guard Board
www.politsei.ee
This is an automated message, please do not reply to this message.