RIA parandas ID-kaardi süsteemis kriitilise vea

ID-kaart. FOTO: Arvo Meeks / Lõuna-Eesti Postimees

Riigi Infosüsteemi Amet (RIA) uuendas jaanuari lõpus ID-kaardi brauserilaiendust, et parandada kriitiline viga, mis võimaldas ründajal logida end kasutaja nimel sisse e-teenustesse.

RIA-le teadaolevalt ei ole programmi nõrkust kurjalt ära kasutatud. Ohtliku vea aitasid avastada Tartu ülikooli teadlased, teatas Riigi Infosüsteemi Amet.

Detsembris teatas RIA partnerasutus nõrkusest veebilehitseja pluginas ehk programmis, mida kasutatakse ID-kaardiga e-teenusesse digiallkirja andmiseks Chrome’i, FireFoxi, Safari, Internet Exploreri Edge’i ja Edge Chromiumi veebilehitsejas.

Kurjategija saanuks pistikprogrammi nõrkust ära kasutada, kui ta kas võtab üle või omab veebilehte, kus saab ID-kaardiga autentida. Kui kasutaja logib ründaja kontrolli all olevasse portaali ID-kaardiga, siis ründaja saanuks kasutada autentimistoimingu infot, et kasutaja nimel sisse logida mõnda teise e-teenusesse ilma, et ta seda teaks.

«RIA-le teadaolevalt ei ole nõrkust ära kasutatud ning ükski kasutaja ei ole tänase info kohaselt kahju kannatanud. Turvaviga on parandatud ning kasutajad ei pea muretsema,» ütles RIA elektroonilise identiteedi osakonna juht Mark Erlich. «Nõrkus polnud selline, millele võinuks kurjategijad lihtsalt otsa komistada, vaid selle avastamiseks tuli vaeva näha ning teoreetiliseks kuritarvitamiseks oli vaja ka omada kontrolli veebilehe üle, kus saab end ID-kaardiga autentida.»

Tema sõnul kontrollitakse pidevalt eID lahenduste turvalisust. «Kui nõrkus leitakse, siis antakse sellest kohe teada. Nii saab riik kohe reageerida ning nõrkuse eemaldada. Suur tänu partneritele ja teadlastele, kes avastasid nõrkuse enne kuritarvitamisi ja sellest teada andsid,» ütles Erlich.

Tagasi üles
Back