Eesti domeenireform viidi läbi suure kampaaniaga ja vaatamata mitmete asjatundjate kriitikale. Nüüd selgub lisaks, et kõigi ümberregistreeritud domeenide omanike ehk 60 000 isiku andmed lekkisid.
Mees süüdistab EISi domeeniomanike andmete lekitamises
Tänavu 14. augustil sai Räpinas elav IT-ekspert Tõnu Samuel vihje, et internetileheküljel virtuaal.ee on näha inimeste isikukoode ja muid andmeid ning sellega ei olda rahul, vahendas ERR Uudised ETV saadet «Pealtnägija».
Tõnu Samuel läks veebilehele saadud informatsiooni kontrollima ning avastas, et kui panna otsingusse mõni domeen, et saada teada, kas see on vaba, siis saadakse lisaks sellele, et domeen ei ole vaba, teada ka omaniku nimi, isikukood, kodune aadressi ja telefoninumber.
Kõiki .ee-lõpulisi ehk Eesti rahvuslikke domeene haldab spetsiaalselt loodud Eesti Interneti Sihtasutus. Tema omakorda andis konkreetse registritoimingute tegemise töö lepingu alusel edasi kokku umbes 40 erafirmale. Virtuaal.com on üks ja kaugeltki mitte kõige suurem neist.
Uue domeeni loomine või vana ümbermuutmine on tehtud lihtsaks ja seda sai virtuaal.com-i kodulehel teha paari hiireklikiga. On normaalne ja ootuspärane, et süsteem teatab, kui otsitav domeen on juba võetud, ning näitab omaniku nime ja kontakti. Aga antud juhul asi sellega ei piirdunud.
Eesti Interneti Sihtasutuse (EIS) hinnangul ei ole aga tegemist andmete lekkega, vaid vargusega. EISi juhatuse liikme Jaak Lippmaa versioon juhtunust läheb Tõnu Samueli omast lahku ning eriti suur sigadus on Lippmaa sõnul see, mida end turvaeksperdiks nimetav Samuel edasi tegi.
«Ma hakkasin proovima, kas on olemas mingeid kaitseid. Kui ma hakkan vaatama järjest domeene, mille nimi on kapo.ee, teabeamet.ee, politsei.ee, juhanparts.ee jne, siis peaks minema kuskil põlema lambike ja see peaks viima selleni, et hakatakse asja uurima. Kusjuures paljudes asutustes on see lambike olemas ning mulle saabub telefonikõne, milles küsitakse, mida ma teen,» selgitas Samuel.
Interneti sihtasutus: Samuel on sissemurdja
Lippmaa sõnul ei saa aga olla juttu sellest, et Samuel lihtsalt vaatas, et sai paari domeeni andmed kätte ning tahtis näha, kas kõikide omad saab kätte.
«Ta oli enne hankinud juba kogu selle domeenide nimekirja, mille kohta üldse küsimusi esitada, automatiseeritult, mitte käsitsi,» märkis Lippmaa. Tema sõnul näitab see seda, et tegemist oli ettekavatsusega ning Samueli plaan oligi kõik domeeni andmed kätte saada.
Samuel väidab, et tegemist ei olnud lihtsalt haiglase huviga teada saada inimeste andmeid, vaid ta katsetas, kas hakkab tööle mingisugune kaitsemehhanism, mida tema sõnul ei olnud.
Lippmaa sõnul peatas EIS aga Samueli tegevuse veel sel ajal, kui see toimus.
Samuel kopeeris endale kahe päeva jooksul takistamatult kõigi Eesti domeeniomanike andmed ehk veidi üle 60 000 isiku andmed, kellest enamik on firmade ja asutuste avalikud kontaktisikud. Kuid seal hulgas on ka ligi 16 000 üksikisikut, kes ei pruugi tahta, et nende mobiil ja koduaadress rändama lähevad. Samueli sõnul sai EIS toimunust aru alles siis, kui ta kolm päeva hiljem neile ise vihjas, milline massiivne turvaauk neil on.
Samuel andis aga oma avastusest ise teada veel Andmekaitse Inspektsioonile, õiguskantslerile ja politseile. Tema sõnul võis kes iganes samal moel samu andmeid alates domeenireformist, st umbes kümme kuud kopeerida. Lippmaa sõnul sarnast tegevust enne Samueli aga toimunud ei ole.
Nüüd käib kõva käeväänamine, kes juhtunus süüdi jääb. Nii vahendajafirma Virtuaal kui EIS väidavad, et andmed polnud laokil, vaid Samuel murdis sisse.
«Meie .ee domeenide infosüsteemi ühte osa kuritarvitati ja mindi mööda paikapandud turvameetmetest,» ütles Virutaal.com juhatuse liige Tanel Kaldoja.
Samuel: andmete laokil hoidjad peavad vastutama
Samueli kinnitusel on aga tegemist täiesti lahtise teenusega, kus ei küsita ühtegi parooli ja koodi ning mitte ühtegi tehnilist nüanssi ning sissemurdmisega ei ole tema sõnul kindlasti tegemist.
Kaldoja sõnul ei saa täpseid turvameetmeid nimetada, kuid sisestades lihtsalt domeeni nime, ei kuvatud kõiki andmeid.
Kui andmed olid laokil, rikkus EIS neid halvasti hoides seadust, kui Samuel häkkis sisse, on rikkuja tema. EIS võttis taktika, et parim kaitse on rünnak ja andis asja politseisse ning nüüdseks ongi tunnistatud Samuel, kes ise turvaprobleemist teada andis, ametlikult kuriteo kahtlusaluseks.
«Ma tahan, et politsei ja andmekaitse inspektsioon uuriks selle juhtumi kõigepealt läbi, nii nagu ta teeb. Aga hetkel on lekkinud 16 000 inimese andmed ja vastavalt andmekaitseseadusele on nendel õigus pöörduda nüüd kahjunõudega lekkekoha juurde ehk Eesti Interneti Sihtasutuse poole kahjunõudega tsiviilkorras,» rääkis Samuel. Ta loodab, et saab juhtumiga tekitada olukorra, et need, kes andmeid lohakalt hoiavad, hakkavad lõpuks vastutama.
Tõnu Samueli tembud on varemgi asutustele pinnuks silmas olnud. 2000. aastal sattus ta häkkerluse eest kohtu alla, sest kopeeris Eesti Telefonile kuulunud hot.ee keskkonnast 65 000 kasutaja andmed ja teavitas avalikkust leitud turvaaugust samuti telesaates. Lugu lõppes kokkuleppega, kui Samuel tunnistas rünnakut ja vabandas Eesti Telefoni ees.
Möödunud neljapäeval ehk pärast seda, kui «Pealtnägija» asja vastu huvi tundma hakkas, saatis EIS laiali teate oma süsteemi tehnilistest täiendustest. «Pealtnägija» kodulehel on aga nimekiri 15 000 inimese isikukoodiga (nimesid ja muid andmeid ei ole), mis lekkisid. Kui keegi tunneb oma koodi ära, siis järelikult olid tema domeeni registreerimisel esitatud andmed laokil.