20.09.2021, 12:50

TÄISPIKKUSES | Kirjavahetus paljastab, et RIA tõmbas suurtele turvaaukudele viitaja oma lubadustega lihtsalt haneks

FOTO: Aldo Luud/Õhtuleht

Riigi infosüsteemi amet (RIA) lubas mitmes riiklikus andmebaasis olulised turvaaugud avastanud mehele mitu tuhat eurot tasu, kuid kui vastused käes ja probleemid lahendatud, siis pistis amet pea liiva alla ja esitas mehele ajakirjanduses süüdistused väljapressimises.

Jutt käib jätkuvalt kurikuulsast Artur Boikost, kes avastas tänavu juulis üüratu turvaaugu RIA süsteemides, mis võimaldas tal avatud uksest enda kätte saada ligi 300 000 Eesti residendi dokumendifotod. Selle juhtumi uurimiseks on politsei alustanud menetlust, kuid üha kõlavamalt kostuvad jutud, et varem häkkimiste eest karistatud meest selle teo eest süüdi mõista ei õnnestu.

Allolevast kirjavahetusest RIA ja Boiko vahel selgub, et mees avastas pärast eeltoodut juhtumit e-riigi süsteemides veel suuremad turvaprobleemid, mis viitavad juba mõne riigipalgalise arendaja süsteemsele veale.

Kirjavahetus RIA küberturvalisuse üksuse CERT-EE Tõnu Tammeri ja Artur Boiko vahel räägib koguni 900 000 kandest e-kinnistusraamatust ja 30 000 kandest abieluregistris, mille andmed olid aastaid vigaselt kaitstud ja mille Boiko ka enda valdusesse sai.

Boiko andiski 17. augustil neist avastustest RIAle teada ja kui esimese hooga ei pidanud amet neid tõsiseltvõetavaks, siis täiendavate tõendite esitamisel hiljem suhtumine muutus.

Kogu sedavõrd, et septembri esimestel päevadel lubab Tammer Boikole järgmist: „Olen kinnitanud, et vigade avastamiseni viiva info eest oleme nõus maksma bug bounty kontekstis."

Kui Boiko seejärel andis konkreetsed juhised RIAle üle ja probleemid said lahendatud, siis hakkas RIA poolt tulema aga segast infot täiendavate analüüsivajaduste kohta ja lõpuks saabus 10. septembri õhtuks vaikus. Lubatud raha asemel anti aga 13.–14. septembril meediale info selle kohta, justkui oleks Boiko RIAlt raha välja pressinud.

RIA peadirektor Margus Noormaa selgitas Fortele saadetud pikemas kommentaaris (avaldame selle täismahus kirjavahetuse lõpus), et RIA lähtus esmalt võimaliku tasu maksmiseks eeldusest, et leitud viga võib olla seotud mõne RIA poolt hallatava infosüsteemi või teenusega, st võimalust osta konsultatsiooniteenust kõnealuselt isikult turvarikke tuvastamiseks. Kuna vigade leidja tegi meiega koostööd – edastas leiud koos kirjeldusega –, siis olime valmis lepingusse minema ning seda ka enda poolt täitma," ütles RIA juht.

„Kuna andsime ka kirjavahetuses mõista, et vajame rohkem aega konkreetse tasu maksmisega seotud asjaolude selgitamiseks ja lahenduse leidmiseks, siis pärast mõningase viivituse tekkimist asus algselt riigiga koostööst huvitatud inimene näitama üles teistlaadi suhtumist (šantažeeris ja mõnitas), samuti lubas mitte kinni pidada konfidentsiaalsusnõudest, ehk eiras neid tingimusi, milles olime kokku leppinud. Kuna koostöö üks põhieeldusi on usaldus, siis kirjeldatud teguviisiga inimene kuritarvitas seda usaldust, mistõttu oleme teinud otsuse honorari mitte tasumise kasuks," ütles Noormaa.

Seega ei meeldinud RIAle väärtusliku info andja toon ja see olevatki olnud põhjus, miks tasu maksmisest loobuti.

Kõigest lähemalt juba allolevas kirjavahetuses (alustage lugemist alt üles) ning selle järel ka RIA juhi täispikk kommentaar.

On 10.09.2021 22:19, Artur Boiko wrote:

Milline on seos minu tasu ja nende haavatavuste ärakasutamise vahel? Vead on eksisteerinud väga pikka aega. Samuti on need vead oma olemuselt väga primitiivsed. Neid võib leida üsna lihtsalt. Olete takistanud nende kasutamist tulevikus, mitte minevikus.

Kommenteeri Loe kommentaare (258)