Pealinna piletisüsteemis laiutas turvaauk
Kui pilet.ee portaali sisse logida, klõpsata “minu kaardid” all “minu tehingud”, siis näeb enda tegemisi: näiteks tehingu puhul infot pileti ostmise kohta, isikukoodi jne. Veel nädala alguses pääses aga samast ligi teiste inimeste andmetele. Selleks tuli vaid brauseri aknas oleval lingil viimane number ära muuta.
“See on klassikaline turvaauk. Ilmselt on süsteem üle jala valmis treitud ja turvatesti pole tehtud. Sellise programmijupi kirjutamine, mis sealt kõik andmed välja pumpaks, oleks mõne minuti töö,” kommenteeris arvutiturbe ekspert Tõnu Samuel.
Kui Ekspress teisipäeval Ühendatud Piletite ASi tegevjuhi Kristjan Konksu tähelepanu turvaaugule juhtis, likvideeriti see tunni jooksul. “Olen päri, et antud info vaatamise võimalus ei ole otstarbekas,” teatas Konks pärast seda, kui turvaauk oli kinni lapitud.
Konks leidis, et tegemist polnud tõsise turvariskiga. “Ligi pääses ostudetšekkidele. Seal ei olnud mitte mingeid personaalseid andmeid, ei olnud sõidu andmeid ning need ei ole mitte kuidagi kokku viidavad inimestega,” ütles ta.
Laokil andmed olid siiski konkreetsete inimestega kokku viidavad. Näiteks võis tuvastada, et inimene, kelle isikukood on 374XXXXXXXX, ostis mobiiltelefoni vahendusel 11. detsembril kell 18:35 23,19 eurot maksva 30 päeva kaardi. Google’i lihtotsinguga tuli välja ka tema täisnimi.
Kui juba häkkimata pääseb ligi andmetele, kuhu ei tohiks ligi pääseda, siis kui kindel võib olla, et tundlikud isikuandmed selle kohta, mis kell ja kust kohast inimene ühistranspordiga sõitma hakkas, säilivad seitse aastat võõra pilgu eest varjatult? Probleemiga tegeleb andmekaitseinspektsioon.
