Läti tudeng leidis Eesti pangalinkidest turvaaugu

Noor Läti arvutiteadur Arnis Paršovs paljastab oma magistritöös turvaaugu pangalingi abil isiku tuvastamises, pankade sõnul on süüdi e-teenuste pakkujad, kuid on otsustanud kokku kutsuda pangaliidu töögrupi, kirjutab Eesti Päevaleht.

Viga tekib sellest, et kaupmees ehk teenusepakkuja usaldab liigselt pangalingi andmeid. Teoorias peaks pangalingi kaudu tuvastatud inimese andmeid igati kontrollima, veenduma, et need pole aegunud ja et inimene tuvastas end pangalingis just selle kaupmehe jaoks. Praegu võib aga ühe korra pangalingis tuvastatud inimese andmeid uuesti kasutada kõikide kaupmeeste juures, pahatihti ka päevi või nädalaid hiljem, kui tegelikult inimene tuvastati.

Paršovs näitab oma magistritöös, kuidas ta on ilma panga tuvastamiseta nädalavanuste andmetega järsku sisse logitud Krediidiinfo portaali E-seif, Elisa ja Tele2 iseteeninduskeskustesse, paberivabasse ARK-i, pilet.ee portaali, Ühisteenuste parkimine.ee keskkonda.

Paršovs, kes lõpetas turvaauke käsitleva magistritööga suvel Tartu ülikooli ja Tallinna tehnikaülikooli ühise küberkaitse õppekava, teavitas leiust ka Eesti CERT-i. Riigi infosüsteemi ameti (RIA) juures tegutsev CERT, mis tuvastab ja lahendab Eesti arvutivõrkudes toimuvaid turvaintsidente, kinnitas läti tudengi avastatud turvaaukude ehedust.

CERT, mille kinnitusel riiklikud teenused (nagu eesti.ee) on igati turvalised, teavitas infost ka pankade tehnilisi töötajaid, paludes neil omakorda teavitada oma partnereid, kes sellist autentimisteenust kasutavad.

RIA hinnangul on probleemis süüdi need e-teenuste pakkujad, kes panga autentimisse lohakalt suhtuvad. „Kirjeldatud nõrkused on panga möllimisteenust kasutavate veebilehtede probleem ning hooletu veebilehe omaniku vastutada,” ütles Toomas Lepik RIA-st.

Sama kinnitavad ka suuremad pangad. SEB kommunikatsioonijuhi Silver Vohu teatel on aga „üleskerkinud küsimuse” lahendamiseks kokku kutsutud pangaliidu töögrupp. „Lahendus on leitud ja see ei ole tehniliselt väga keerukas, kuid eeldab ka kõikide teenusepakkujate poolseid muudatusi oma süsteemides, seepärast võtab lahenduse juurutamine aega,” ütles Vohu.