Kurjategija laadis alla sadu tuhandeid dokumendifotosid
30. juuli 2021, 00:09
Riigi infosüsteemi ameti (RIA) eksperdid ning politsei- ja piirivalveamet (PPA) peatasid sadade tuhandete dokumendifotode allalaadimise isikut tõendavate dokumentide andmebaasist. Allalaadimist võimaldas turvanõrkus RIA hallatavas, fotosid vahendavas teenuses.
21. juulil tuvastas RIA massilise andmete allalaadimise isikut tõendavate dokumentide andmebaasist ning sulges teenuse. Päev hiljem fikseeris RIA võimaliku IP-aadressi, mille kaudu fotosid alla laaditi, ning edastas info politseile. Ühtlasi alustas RIA asutusesisest kontrolli, et selgitada välja põhjus, mis võimaldas pildisüsteemi kontrollimehhanismiga manipuleerimist.
Kahtlustatav laadis isikut tõendavate dokumentide andmekogust alla 286 438 inimese fotod, kasutades selleks võltsitud digitaalseid sertifikaate. Kahtlustatav ei saanud ligipääsu andmekogule, vaid kuritarvitas turvanõrkust ühes RIA hallatavas teenuses, mis võimaldas päringutega saada kätte inimese dokumendifoto. RIA sulges fotode vahendamise teenuse kohe pärast väärkasutamise avastamist ja parandas turvavea. 23. juulil pidas politsei süüteos kahtlustatava mehe Tallinnas kinni ja alustatud on kriminaaluurimist.
Teenus, mille turvanõrkust õnnestus ära kasutada, on üles ehitatud nii, et fotode saamiseks on vaja viie alasüsteemi täiendavat kontrolli. Kahtlustatav avastas turvanõrkuse ühes RIA rakenduses, mis ei kontrollinud saadud päringu õigsust piisavalt.
Keskkriminaalpolitsei küberkuritegude büroo juhi Oskar Grossi (pildil) sõnul asus politsei ühes RIA ekspertidega juhtunut uurima ning selle käigus õnnestus leida viiteid, et kahtlustatav tuvastada. «Kui tavaliselt räägime küberkuritegude puhul rahvusvahelisest kuritegevusest, siis praegusel juhul tegutses kahtlustatav Eestis, mis võimaldas ta kiiresti kinni pidada. Läbiotsimiste käigus leidsid uurijad tema valdusest andmekogust alla laaditud fotod koos inimeste nimede ja isikukoodidega. Praegu ei ole meil alust arvata, et kahtlustatav oleks neid andmeid pahatahtlikult ära kasutanud või edastanud, kuid menetluse käigus täpsustame veel teo võimalikke motiive,» kirjeldas Gross.
RIA eksperdid on täiendavalt kontrollinud ka teisi teenuseid, et välistada sarnaseid turvanõrkusi.
Kõigile, kelle dokumendifoto ebaseaduslikult alla laaditi, saadab PPA teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Ükski inimene, kelle foto alla laaditi, ei pea tegema uut fotot ega taotlema uut dokumenti.
Dokumendifoto, inimese nime ja isikukoodi põhjal ei saa siseneda ühessegi riigi e-teenusesse, teha notariaalseid ja muid rahalisi tehinguid. Juhtunu ei mõjuta kuidagi ID-kaarti, elamisloakaarti, mobiil-IDd ega Smart-IDd.
Praegu teada oleva info põhjal ei ole andmevargus seotud hiljutise pääsuõiguste haldussüsteemi iseteeninduskeskkonnas nähtaval olnud isikuandmete juhtumiga.