Riigi Infosüsteemi Amet (RIA) tuvastas enda isikut tõendavate dokumentide andmebaasi vastu suunatud küberründe, mille abil õnnestus ründajal alla laadida 286 438 inimese fotod. Politsei pidas kahtlustatava kinni ning alustas juhtunu asjaolude väljaselgitamiseks kriminaalmenetlust.
VIDEO JA BLOGI ⟩ RIA andmebaasist laaditi massiliselt alla dokumendifotosid (23)
28. juuli 2021, 10:23
Kahtlustataval õnnestus fotod kätte saada võltsitud digitaalseid sertifikaate kasutades. Kahtlustatav ei saanud ligipääsu andmekogule, vaid kuritarvitas turvanõrkust ühes RIA hallatavas teenuses, mis võimaldas päringutega saada kätte inimese dokumendifoto. RIA sulges fotode vahendamise teenuse kohe pärast väärkasutamise avastamist ja parandas turvavea. 23. juulil pidas politsei süüteos kahtlustatava mehe Tallinnas kinni.
Nimetatud teenus, mille turvanõrkust õnnestus ära kasutada, on üles ehitatud nii, et fotode saamiseks on vaja viie alasüsteemi täiendavat kontrolli. Kahtlustatav avastas turvanõrkuse ühes RIA rakenduses, mis ei kontrollinud saadud päringu õigsust piisavalt. «Selline süsteemidega manipuleerimine eeldab valdkonnateadmisi, vilumust ja reeglina ka läbimõeldud eeltööd. Ründaja pidi varasemast teadma inimese nime ja isikukoodi, mille abil oli võimalik jätta süsteemile mulje, nagu soovinuks inimene ise oma pilti alla laadida,» ütles RIA peadirektor Margus Noormaa.
Kronoloogia
16.07 – SK ID Solutions teavitab RIAt suurenenud päringute arvust
21.07 – RIA tuvastab täiendava monitooringu kaudu massilise andmete allalaadimise isikut tõendavate dokumentide andmebaasist (KMAIS) ning sulgeb teenuse
22.07 – RIA fikseerib võimaliku IP-aadressi, mille kaudu dokumendi fotosid alla laaditi ning edastab info politseile
22.07 – RIA alustab asutusesisest kontrolli, et selgitada välja põhjus, mis võimaldas pildisüsteemi kontrollimehhanismiga manipuleerimist
23.07 - Politsei peab andmete alla laadimises kahtlustatava mehe kinni ja teeb esmaseid menetlustoiminguid
23.07 – RIA taasavab parandatud pildisüsteemi, mille kaudu saab inimene taas enda dokumendi pildi alla laadida.
23-27.07 – RIA kontrollib täiendavalt sarnase ründevektori võimalikkust teistes teenustes
Keskkriminaalpolitsei küberkuritegude büroo juhi Oskar Grossi sõnul asus politsei ühes RIA ekspertidega juhtunut uurima ning selle käigus õnnestus leida viiteid, et kahtlustatav tuvastada. «Kui tavaliselt räägime küberkuritegude puhul rahvusvahelisest kuritegevusest, siis praegusel juhul tegutses kahtlustatav Eestis, mis võimaldas ta kiiresti kinni pidada. Läbiotsimiste käigus leidsid uurijad tema valdusest andmekogust alla laaditud fotod koos inimeste nimede ja isikukoodidega. Praegu ei ole meil alust arvata, et kahtlustatav oleks neid andmeid pahatahtlikult ära kasutanud või edastanud, kuid menetluse käigus täpsustame veel teo võimalikke motiive,» kirjeldas Gross.
RIA eksperdid on täiendavalt kontrollinud ka teisi teenuseid, et välistada sarnaseid turvanõrkusi. «Monitooringu tulemusel ei ole me võimalikke ründeteid avastanud, kuid jätkame kontrollimist. Töötame koos partneritega pidevalt selle nimel, et avastada nõrkused enne, kui keegi neid kuritahtlikult ära kasutab,» ütles Noormaa.
Kõigile neile, kelle dokumendifoto ebaseaduslikult alla laaditi, saadab PPA teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Ükski inimene, kelle foto alla laaditi, ei pea tegema uut fotot ega taotlema uut dokumenti.
Dokumendifoto, inimese nime ja isikukoodi põhjal ei saa siseneda ühessegi riigi e-teenusesse, teha notariaalseid jm rahalisi tehinguid. Juhtunu ei mõjuta kuidagi ID-kaarti, elamisloakaarti, mobiil-IDd ega Smart-IDd.
Praegu teada oleva info põhjal ei ole andmevargus seotud hiljutise pääsuõiguste haldussüsteemi iseteeninduskeskkonnas nähtaval olnud isikuandmete juhtumiga.