Tanklakett Olerex avastas esmaspäeval, et kurjategijad on süsteemi turvanõrkust ära kasutades pääsenud ligi hinnanguliselt 100 000 tehingu infole, millega koos said kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni. Turvaauk lapiti teisipäevaks, ent juba on teada, et andmebaasi jõuti eelnevalt alla laadida 71 korral.
Hiigelleke Olerexis: pätid said kätte kuni 100 000 kliendi andmed (4)
«Hinnanguliselt käib jutt 100 000 tehingu andmest, peaasjalikult äriklientide nimed, isikukoodid, kütusekaardi limiidid ja muud andmed. See on üsna ulatuslik leke. Meile teadaolevalt on andmeid ka 71 korral alla laetud, mis on üsna murettekitav,» ütles Riigi Infosüsteemi Ameti (RIA) peadirektori asetäitja Uku Särekanno.
Krediitkaardi numbreid praeguse info kohaselt lekkinud andmete seas ei ole.
Postimehe andmetel avastas Olerex andmebaasi avaliku kättesaadavuse esmaspäeval, 8. juulil ja andis sellest RIA-le teada 9. juuli õhtupoolikul, mil turvanõrkus oli juba suletud.
RIA-le teadaolevalt said andmed kättesaadavaks kütusefirma serverite ümberkolimise tõttu. Kokku oli andmebaas interneti kaudu leitav poolteist kuud. Millise perioodi tehingud ja kliendiinfo varastatud andmebaasi kuulus, pole veel selge.
Toimunu tõttu alustasid Olerexi suhtes menetlust Riigi Infosüsteemi Amet.
Särekanno sõnul viitavad asjaolud, et kurjategijad avastasid kliendiandmete avaliku kättesaadavuse tõenäoliselt robototsinguga. Tegu on selleks seadistatud arvutitega, mis kammivad süsteemselt ettevõtete serveritest kindlatele mustritele vastavaid turbenõrkusi. Enamasti sellised katsed ebaõnnestuvad, ent kui ettevõte pole olnud andmete kaitsel hoolas või on tehtud inimlik viga, saavad andmed avalikuks.
«See on analoogne sellega, et murdvaras käib mööda küla ja katsub iga maja puhul, kas välisuks on lahti,» kirjeldas Särekanno.
Olerexi puhul andmebaas sel viisil ilmselt leitigi. Kui aadress oli teada, võinuks sellele interneti teel ligi pääseda igaüks. Olerexi klientide andmeid võidi RIA hinnangul alla laadida nii Eestis kui ka välismaal.
Reeglina kasutatakse sel moel saadud kliendiandmeid esmajärgus raha väljapetmiseks, aga ka muudel viisidel nagu spämmimine või andmete mustal turul edasi müümine. Seni pole RIA ega politsei saanud ühtki kaebust, et Olerexist varastatud andmeid oleks kuritegelikult ära kasutatud.
Olerex pole leket veel kommenteerinud.
Kolmas leke sellel kuul
Olerexi hiiglaslik andmeleke on juba kolmas, mis on viimase kahe nädala jooksul Eestis avalikuks tulnud. Lisaks Olerexile oli avalikult võimalik ligi pääseda ka e-poe charlot.ee ja Tartus rattaringlust pakkuva Bewegeni kasutajate andmetele.
«Esialgsel hinnangul olid andmed avalikud inimlike vigade tõttu. RIA alustas siiski kõigi kolme osapoole suhtes järelevalvemenetlust, et selgitada välja, kas nende infosüsteemid on nõuetekohaselt kaitstud,» ütles Särekanno.
9. juulil andis Tartu linnavalitsus teada rattaringlust pakkuva ettevõtte Bewegeni andmebaasi turvanõrkusest. Selle tõttu oli võimalik ligi pääseda natuke rohkem kui 20 000 kasutaja andmetele. Kättesaadavad olid kasutajate nimi, meiliaadress, telefoninumber ja kasutaja ID, mis võimaldas näha, kus ta liikus. Kättesaadavad olid 7180 kasutaja isikukoodid, kuna nende konto oli ühendanud ka bussikaardiga.
Samuti sai RIA tänu ajakirjanikule teada 3. juulil Charloti e-poe lekkest, mille tõttu olid avalikud ligikaudu 14 000 kasutaja isikuandmeid sisaldavad kataloogid. «Kuna avalikud olid telefoninumbri, nimede ja aadressi kõrval ka kasutajate meiliaadressid ja e-poe parool lihttekstina, siis peavad Charloti kasutajad oma paroole vahetama. On enam kui tõenäoline, et e-poodi sisse logimiseks mõeldud parool oli ka teistes keskkondades kasutusele. Kui need andmed jõuavad küberkurjategijateni, siis nad saavad meiliaadressi ja parooli teades logida ka teistesse keskkondadesse sisse,» toonitas Särekanno.
Riigi Infosüsteemide Amet (RIA) rõhutab hiljutiste andmelekete valguses, et kõik inimesed ja ettevõtted peavad suhtuma andmekaitsesse täie tõsidusega.
«Inimesed peaksid hoolega jälgima, kuhu ja mis andmeid nad edastavad, sest peale edastamist nad enam oma andmeid ei kontrolli. Ettevõtetele on soovitus, et testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi. Kõik see on kordades odavam, kui hilisemate tagajärgedega tegelemine,» rääkis Särekanno.