MIS TOIMUB? | Mitukümmend Eesti veebilehte lasevad ligi kehtetuid ID-kaarte

 (14)
Häkker stock
Foto on illusteeriv.Foto: Mana Kaasik

Eesti ID-kaart peaks olema teadaolevalt turvalisim lahendus inimeste elektrooniliseks tuvastamiseks, kuid äsja tulid ilmsiks kümned Eesti veebikeskkonnad, mis ei kontrollinud, kas sisenejatel on kasutada ikka kehtivad ID-kaardid.

Riigi Infosüsteemi Ameti küberturvalisuse üksus CERT-EE tuvastas kuu aja eest juulis nimelt ligi paarkümmend turvanõrkustega veebilehte, mis ei kontrollinud ID-kaardiga autentimisel, kas selle sertifikaat on kehtiv või mitte.

See tähendab, et neisse keskkondadesse oli võimalik siseneda, tehinguid ja toiminguid teha ka surnud inimeste ja kehtetute ID-kaartidega. Aga ka kehtivuse kaotanud e-residentide kaartidega ja elamisloakaartidega.

Kahe veebikeskkonna puhul oli olukord veelgi hullem: neis puudus ka kontroll, kas inimeste isikut määrav sertifikaat on SK ID Solutionsi poolt üldse allkirjastatud. See tähendab, et kasutaja võinuks nendesse teenustesse logimisel ise sertifikaadi allkirjastada ning logida keskkonda ükskõik kelle nime ja isikukoodiga.

CERT-EE ei ole seni veel täpsustanud, kes olid nende veebikeskkondade pidajad ja kas nende seas oli ka riigiasutusi. '

Oleme vastuse ootel ja täiendame uudist