Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
11.07.2019 17:41:46
|
|
|
tsitaat: |
RIIGI INFOSÜSTEEMI AMET
Pressiteade
11.07.2019
Veebis pääses ligi vähemalt 34 000 kasutaja ning 100 000 tehingu andmetele
Sel ja eelmisel nädalal teatasid kaks ettevõtet ja üks omavalitsus Riigi Infosüsteemi Ametit (RIAle), et nende andmed ja tehingud olid internetis avalikud ja neile oli võimalik ligi pääseda. Kokku olid veebis kättesaadavad vähemalt 34 000 inimese ja 100 000 tehingu andmed.
Avalikult oli võimalik ligi pääseda e-poe charlot.ee ja Tartus rattaringlust pakkuva Bewegeni kasutajate andmetele ning 100 000-le Olerexi ärikliendi tehingutele. „Esialgsel hinnangul olid andmed avalikud inimlike vigade tõttu. RIA alustas siiski kõigi kolme osapoole suhtes järelevalvemenetlust, et selgitada välja, kas nende infosüsteemid on nõuetekohaselt kaitstud,“ ütles RIA küberturvalisuse teenistuse juht Uku Särekanno.
RIA intsidentide käsitlemise osakond (CERT-EE) sai 9. juuli õhtul Olerexilt info, et kolimise tõttu olid avalikult kättesaadavaks jäänud ligikaudu 100 000 ärikliendi toimingut ehk info äriklientide tehingute kohta. „Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed ei olnud kättesaadavad. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli,“ rääkis Särekanno. Olerex kontrollis üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.
Ta lisas, et Olerexi sõnul olid avalikud andmed viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti. „Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla,“ sõnas Särekanno.
Info teisest suuremast vahejuhtumist jõudis RIAni samuti 9. juulil, kui Tartu linnavalitsus andis teada rattaringlust pakkuva ettevõtte Bewegeni andmebaasi turvanõrkusest. Selle tõttu oli võimalik rattaringluse käivitamise algusest kuni 9. juulini, mil viga parandati, autentimata ligi pääseda natuke rohkem kui 20 000 kasutaja andmetele. Kättesaadavad olid kasutajate nimi, meiliaadress, telefoninumber ja kasutaja ID, mis võimaldas näha, kus ta liikus. Kättesaadavad olid 7180 kasutaja isikukoodid, kuna nende konto oli ühendanud ka bussikaardiga.
Ajaliselt esimesest andmelekkest sai RIA tänu ajakirjanikule teada 3. juulil. Avalikud olid ligikaudu 14 000 Charloti e-poe kasutaja isikuandmeid sisaldavad kataloogid. „Kuna avalikud olid telefoninumbri, nimede ja aadressi kõrval ka kasutajate meiliaadressid ja e-poe parool lihttekstina, siis peavad Charloti kasutajad oma paroole vahetama. On enam kui tõenäoline, et e-poodi sisse logimiseks mõeldud parool oli ka teistes keskkondades kasutusele. Kui need andmed jõuavad küberkurjategijateni, siis nad saavad meiliaadressi ja parooli teades logida ka teistesse keskkondadesse sisse,“ toonitas Särekanno.
„Kõik inimesed ja ettevõtted peavad suhtuma andmekaitsesse täie tõsidusega. Inimesed peaksid hoolega jälgima, kuhu ja mis andmeid nad edastavad, sest peale edastamist nad enam oma andmeid ei kontrolli. Ettevõtetele on soovitus, et testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi. Kõik see on kordades odavam, kui hilisemate tagajärgedega tegelemine,“ lisas Särekanno.
Soovitused ettevõtetele, kuidas andmeid kaitsta:
• Testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi;
• Kasutage usaldusväärset e-poe platvormi, kus on tagatud regulaarne tarkvara uuendamine;
• Veenduge, et veebileht ja selle alamlehed kasutavad üksnes HTTPS ja HSTS protokolle. Kontrollige üle, et lehtedel ei oleks komponente, mis on ligipääsetavad HTTP protokolliga
• Veenduge, et paroole ei salvestataks kunagi ning paroolid oleks räsitud (parooli on võimalik kontrollida, aga mitte välja lugeda). Teised tundlikud andmed peaksid olema veebilehe süsteemis krüpteeritud. Kui klient on parooli unustanud, ei tohi veebilehe tarkvara saata talle parooli lahtise tekstina e-kirjas;
• Veebilehe turvalisuse ülevaateks soovitame kasutada ka avalikke tööriistu, seal hulgas Hardenize’i: https://www.hardenize.com. See tööriist näitab ja kirjeldab kõige elementaarsemaid asju ehk millised sammud on veebilehe turvalisuse jaoks astutud, millised mitte. |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
11.07.2019 19:07:13
|
|
|
Kas nüüd tehakse trahvi?
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
filx
HV kasutaja
liitunud: 12.09.2006
|
11.07.2019 23:52:04
|
|
|
100 000 kliendi andmed != 34 000 isikut kes tegid 100 000 tehingut. AM stiilis klickbait
_________________ Think positive!
Viljar Bauman
👨👩👧👦 father;🧙security wizard;👨🔬life engineer;👫 socialist |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
12.07.2019 00:34:08
|
|
|
34k on vähe?
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
ahoioi
HV kasutaja
liitunud: 22.11.2017
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
FEAR007
Kreisi kasutaja
liitunud: 26.12.2007
|
16.07.2019 13:11:05
|
|
|
Huvitav mis "kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni" seal vahepeal siis veel on ? Isiku nimi, isikukood, aadress, telefoninumber ? Nende andmetega saab juba midagi teha...
|
|
Kommentaarid: 111 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
104 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
16.07.2019 15:14:17
|
|
|
Tundub, et see, kes alla laadis, andis Olerexile ka asjast teada. Vastasel juhul oleksid need andmed seal kenasti edasi rippunud.
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
16.07.2019 15:15:24
|
|
|
Samuel andis ka Teliale teada
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
16.07.2019 15:35:58
|
|
|
https://digi.geenius.ee/rubriik/uudis/ria-tunnistab-et-olerexi-andmelekke-avalikustamisel-tehti-viga/
tsitaat: |
Riigi infosüsteemi ameti (RIA) pressiesindaja tunnistas, et eelmisel nädalal avalikuks tulnud tanklaketi Olerex andmelekke osas tehti viga, amet ei järginud head tava ning see on mõttekoht edaspidiseks.
Olerexi andmelekke osas levib meedias erinevaid väiteid, millest vähemalt osa ei vasta tõele. Näiteks teatati esmalt, et andmeid on laetud alla 71-l korral, kuid tegelikkuses laadis andmeid alla vaid üks inimene, kes kasutas selleks veebiliiklust anonüümseks muutvat brauserit Tor, mis jättis mulje, et allalaadimisi sooritati suurel hulgal. |
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
17.07.2019 12:58:34
|
|
|
Maxim Puente kirjutas: |
Samuel andis ka Teliale teada |
Ei imestaks kui selle eksperdiga samamoodi läheb. Sõnumitooja on vaja ju oska tõmmata ja olerexil selle jaoks pappi jagub.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
RustyZ
HV Guru
liitunud: 20.06.2004
|
17.07.2019 13:24:02
|
|
|
Kui mu andmed lekkisid palju pappi saan?
|
|
Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
11 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
17.07.2019 13:32:05
|
|
|
RustyZ, hinnakirja ei ole. Pead tsiviilasja kohtusse andma ja kahjutasu nõudma. Aga pead suutma tõestada, palju sulle reaalselt kahju tekitati, päris nii ei saa, et mingit lambist summat nõudma hakkad
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
olavsu1
külaline
|
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
28.11.2019 15:31:26
|
|
|
Meie pankadel oleks ammu aeg magnetribast loobuda ja poleks isegi teoreetilist ohtu kuna kiipi ei saa kopeerida. Magnetribaga kaarte võiks väljastada ainult kliendi nõudmisel kuna muud tolku sellest magnetribast pole kui see, et võib vaja minna kui reisida mõnda "banaanivabariiki" kus veel ainult magnetriba tunnistavad terminalid/automaadid kasutusel on.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
28.11.2019 15:32:47
|
|
|
napoleon kirjutas: |
võib vaja minna kui reisida mõnda "banaanivabariiki" kus veel ainult magnetriba tunnistavad terminalid/automaadid kasutusel on. |
Spoiler
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
28.11.2019 15:54:04
|
|
|
mTasku või mõni muu äpipõhine makseviis ning lõunaeurooplased võivad oma skimmeritega lutsu visata.
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
Bilderberg
HV kasutaja
liitunud: 26.08.2009
|
|
Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
28.11.2019 17:30:29
|
|
|
Selle vastu saaks tegelikult rohtu kui disainiks kaardid nii, et peale esimest laadimist sinna enam mingit äppi installida ei saa
EDIT: ja tegelikult on see juba üsna advanced häkk võrreldes skimmeriga. Alustuseks peab ju POS süsteemile ka ligi saama
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
|