Suur leke Olerexis: kurjategijad pääsesid ligi 100 000 tehingu infole

"Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed ei olnud kättesaadavad. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli," rääkis Riigi Infosüsteemi Ameti (RIA) küberturvalisuse teenistuse juht Uku Särekanno pressiteates. RIA teatel kontrollis Olerex üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.

Särekanno lisas, et Olerexi sõnul olid avalikud andmed viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti. "Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla," sõnas Särekanno.

Info teisest suuremast vahejuhtumist jõudis RIAni samuti 9. juulil, kui Tartu linnavalitsus andis teada rattaringlust pakkuva ettevõtte Bewegeni andmebaasi turvanõrkusest. Selle tõttu oli võimalik rattaringluse käivitamise algusest kuni 9. juulini, mil viga parandati, autentimata ligi pääseda natuke rohkem kui 20 000 kasutaja andmetele. Kättesaadavad olid kasutajate nimi, meiliaadress, telefoninumber ja kasutaja ID, mis võimaldas näha, kus ta liikus. Kättesaadavad olid 7180 kasutaja isikukoodid, kuna nende konto oli ühendanud ka bussikaardiga.

Lisaks neile kahele juhtumile sai eelmisel nädalal amet teada veel andmelekkest Charlotis, kui avalikud olid ligikaudu 14 000 Charloti e-poe kasutaja isikuandmeid sisaldavad kataloogid.

"Kuna avalikud olid telefoninumbri, nimede ja aadressi kõrval ka kasutajate meiliaadressid ja e-poe parool lihttekstina, siis peavad Charloti kasutajad oma paroole vahetama. On enam kui tõenäoline, et e-poodi sisse logimiseks mõeldud parool oli ka teistes keskkondades kasutusele. Kui need andmed jõuavad küberkurjategijateni, siis nad saavad meiliaadressi ja parooli teades logida ka teistesse keskkondadesse sisse," toonitas Särekanno.

Kõiki kolme juhtumit vaadates leidis amet esialgse hinnangu järgi, et andmed olid avalikud inimlike vigade tõttu. "RIA alustas siiski kõigi kolme osapoole suhtes järelevalvemenetlust, et selgitada välja, kas nende infosüsteemid on nõuetekohaselt kaitstud," ütles Särekanno.