Avaleht
uus teema   vasta Uudised »  Turvalisus ja privaatsus »  Hiigelleke Olerexis: pätid said kätte kuni 100 000 kliendi andmed märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Autoriseeritud ID-kaardiga
sõnum 11.07.2019 17:30:14 Hiigelleke Olerexis: pätid said kätte kuni 100 000 kliendi andmed vasta tsitaadiga

Tanklakett Olerex avastas esmaspäeval, et kurjategijad on süsteemi turvanõrkust ära kasutades pääsenud ligi hinnanguliselt 100 000 tehingu infole, millega koos said kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni. Turvaauk lapiti teisipäevaks, ent juba on teada, et andmebaasi jõuti eelnevalt alla laadida 71 korral.

Loe edasi: https://majandus24.postimees.ee/6727953/hiigelleke-olerexis-patid-said-katte-kuni-100-000-kliendi-andmed

Loe ka: https://www.err.ee/960809/olerexi-tartu-rattaringluse-ja-kirjatarvete-e-poe-kliendiandmed-olid-avalikult-ripakil
_________________
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Autoriseeritud ID-kaardiga
sõnum 11.07.2019 17:41:46 vasta tsitaadiga
tsitaat:
RIIGI INFOSÜSTEEMI AMET
Pressiteade
11.07.2019

Veebis pääses ligi vähemalt 34 000 kasutaja ning 100 000 tehingu andmetele

Sel ja eelmisel nädalal teatasid kaks ettevõtet ja üks omavalitsus Riigi Infosüsteemi Ametit (RIAle), et nende andmed ja tehingud olid internetis avalikud ja neile oli võimalik ligi pääseda. Kokku olid veebis kättesaadavad vähemalt 34 000 inimese ja 100 000 tehingu andmed.

Avalikult oli võimalik ligi pääseda e-poe charlot.ee ja Tartus rattaringlust pakkuva Bewegeni kasutajate andmetele ning 100 000-le Olerexi ärikliendi tehingutele. „Esialgsel hinnangul olid andmed avalikud inimlike vigade tõttu. RIA alustas siiski kõigi kolme osapoole suhtes järelevalvemenetlust, et selgitada välja, kas nende infosüsteemid on nõuetekohaselt kaitstud,“ ütles RIA küberturvalisuse teenistuse juht Uku Särekanno.

RIA intsidentide käsitlemise osakond (CERT-EE) sai 9. juuli õhtul Olerexilt info, et kolimise tõttu olid avalikult kättesaadavaks jäänud ligikaudu 100 000 ärikliendi toimingut ehk info äriklientide tehingute kohta. „Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed ei olnud kättesaadavad. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli,“ rääkis Särekanno. Olerex kontrollis üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.

Ta lisas, et Olerexi sõnul olid avalikud andmed viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti. „Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla,“ sõnas Särekanno.

Info teisest suuremast vahejuhtumist jõudis RIAni samuti 9. juulil, kui Tartu linnavalitsus andis teada rattaringlust pakkuva ettevõtte Bewegeni andmebaasi turvanõrkusest. Selle tõttu oli võimalik rattaringluse käivitamise algusest kuni 9. juulini, mil viga parandati, autentimata ligi pääseda natuke rohkem kui 20 000 kasutaja andmetele. Kättesaadavad olid kasutajate nimi, meiliaadress, telefoninumber ja kasutaja ID, mis võimaldas näha, kus ta liikus. Kättesaadavad olid 7180 kasutaja isikukoodid, kuna nende konto oli ühendanud ka bussikaardiga.

Ajaliselt esimesest andmelekkest sai RIA tänu ajakirjanikule teada 3. juulil. Avalikud olid ligikaudu 14 000 Charloti e-poe kasutaja isikuandmeid sisaldavad kataloogid. „Kuna avalikud olid telefoninumbri, nimede ja aadressi kõrval ka kasutajate meiliaadressid ja e-poe parool lihttekstina, siis peavad Charloti kasutajad oma paroole vahetama. On enam kui tõenäoline, et e-poodi sisse logimiseks mõeldud parool oli ka teistes keskkondades kasutusele. Kui need andmed jõuavad küberkurjategijateni, siis nad saavad meiliaadressi ja parooli teades logida ka teistesse keskkondadesse sisse,“ toonitas Särekanno.

„Kõik inimesed ja ettevõtted peavad suhtuma andmekaitsesse täie tõsidusega. Inimesed peaksid hoolega jälgima, kuhu ja mis andmeid nad edastavad, sest peale edastamist nad enam oma andmeid ei kontrolli. Ettevõtetele on soovitus, et testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi. Kõik see on kordades odavam, kui hilisemate tagajärgedega tegelemine,“ lisas Särekanno.


Soovitused ettevõtetele, kuidas andmeid kaitsta:
• Testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi;
• Kasutage usaldusväärset e-poe platvormi, kus on tagatud regulaarne tarkvara uuendamine;
• Veenduge, et veebileht ja selle alamlehed kasutavad üksnes HTTPS ja HSTS protokolle. Kontrollige üle, et lehtedel ei oleks komponente, mis on ligipääsetavad HTTP protokolliga
• Veenduge, et paroole ei salvestataks kunagi ning paroolid oleks räsitud (parooli on võimalik kontrollida, aga mitte välja lugeda). Teised tundlikud andmed peaksid olema veebilehe süsteemis krüpteeritud. Kui klient on parooli unustanud, ei tohi veebilehe tarkvara saata talle parooli lahtise tekstina e-kirjas;
• Veebilehe turvalisuse ülevaateks soovitame kasutada ka avalikke tööriistu, seal hulgas Hardenize’i: https://www.hardenize.com. See tööriist näitab ja kirjeldab kõige elementaarsemaid asju ehk millised sammud on veebilehe turvalisuse jaoks astutud, millised mitte.

_________________
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Max Powers
 

liitunud: 21.03.2003
sõnum 11.07.2019 19:07:13 vasta tsitaadiga
Kas nüüd tehakse trahvi?
Kommentaarid: 215 loe/lisa Kasutajad arvavad:  :: 3 :: 2 :: 182
tagasi üles
vaata kasutaja infot saada privaatsõnum
filx
HV kasutaja
filx

liitunud: 12.09.2006
sõnum 11.07.2019 23:52:04 vasta tsitaadiga
100 000 kliendi andmed != 34 000 isikut kes tegid 100 000 tehingut. AM stiilis klickbait thumbs_down.gif
_________________
Think positive!
Viljar Bauman
👨‍👩‍👧‍👦 father;🧙security wizard;👨‍🔬life engineer;👫 socialist
Kommentaarid: 32 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Max Powers
 

liitunud: 21.03.2003
sõnum 12.07.2019 00:34:08 vasta tsitaadiga
34k on vähe?
Kommentaarid: 215 loe/lisa Kasutajad arvavad:  :: 3 :: 2 :: 182
tagasi üles
vaata kasutaja infot saada privaatsõnum
ahoioi
HV kasutaja

liitunud: 22.11.2017
sõnum 12.07.2019 20:35:21 vasta tsitaadiga
Huvitav, milline see tõde siis lõpuks on, kas 1 või 71?
https://www.delfi.ee/news/paevauudised/eesti/olerex-meile-oli-teada-kes-meie-klientide-infot-alla-laadis-andmeid-pole-kuritarvitatud?id=86824387
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
Max Powers
 

liitunud: 21.03.2003
sõnum 16.07.2019 13:04:31 vasta tsitaadiga
https://tehnika.postimees.ee/6731071/olerex-uurimise-all?_ga=2.156177659.1976798386.1563185724-1144203029.1493184684
Kommentaarid: 215 loe/lisa Kasutajad arvavad:  :: 3 :: 2 :: 182
tagasi üles
vaata kasutaja infot saada privaatsõnum
FEAR007
Kreisi kasutaja
FEAR007

liitunud: 26.12.2007



Autoriseeritud ID-kaardiga
sõnum 16.07.2019 13:11:05 vasta tsitaadiga
Huvitav mis "kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni" seal vahepeal siis veel on ? Isiku nimi, isikukood, aadress, telefoninumber ? Nende andmetega saab juba midagi teha...
Kommentaarid: 111 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 104
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga
sõnum 16.07.2019 15:14:17 vasta tsitaadiga
Tundub, et see, kes alla laadis, andis Olerexile ka asjast teada. Vastasel juhul oleksid need andmed seal kenasti edasi rippunud.
Kommentaarid: 686 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 532
tagasi üles
vaata kasutaja infot saada privaatsõnum
Max Powers
 

liitunud: 21.03.2003
sõnum 16.07.2019 15:15:24 vasta tsitaadiga
Samuel andis ka Teliale teada
Kommentaarid: 215 loe/lisa Kasutajad arvavad:  :: 3 :: 2 :: 182
tagasi üles
vaata kasutaja infot saada privaatsõnum
pppd
Kreisi kasutaja

liitunud: 21.06.2004
sõnum 16.07.2019 15:35:58 vasta tsitaadiga
https://digi.geenius.ee/rubriik/uudis/ria-tunnistab-et-olerexi-andmelekke-avalikustamisel-tehti-viga/

tsitaat:
Riigi infosüsteemi ameti (RIA) pressiesindaja tunnistas, et eelmisel nädalal avalikuks tulnud tanklaketi Olerex andmelekke osas tehti viga, amet ei järginud head tava ning see on mõttekoht edaspidiseks.

Olerexi andmelekke osas levib meedias erinevaid väiteid, millest vähemalt osa ei vasta tõele. Näiteks teatati esmalt, et andmeid on laetud alla 71-l korral, kuid tegelikkuses laadis andmeid alla vaid üks inimene, kes kasutas selleks veebiliiklust anonüümseks muutvat brauserit Tor, mis jättis mulje, et allalaadimisi sooritati suurel hulgal.
Kommentaarid: 3 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 3
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga
sõnum 17.07.2019 12:58:34 vasta tsitaadiga
Maxim Puente kirjutas:
Samuel andis ka Teliale teada


Ei imestaks kui selle eksperdiga samamoodi läheb. Sõnumitooja on vaja ju oska tõmmata ja olerexil selle jaoks pappi jagub.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
RustyZ
HV Guru
RustyZ

liitunud: 20.06.2004
sõnum 17.07.2019 13:24:02 vasta tsitaadiga
Kui mu andmed lekkisid palju pappi saan?
Kommentaarid: 16 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 11
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga
sõnum 17.07.2019 13:32:05 vasta tsitaadiga
RustyZ, hinnakirja ei ole. Pead tsiviilasja kohtusse andma ja kahjutasu nõudma. Aga pead suutma tõestada, palju sulle reaalselt kahju tekitati, päris nii ei saa, et mingit lambist summat nõudma hakkad
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Max Powers
 

liitunud: 21.03.2003
sõnum 14.08.2019 10:45:49 vasta tsitaadiga
https://www.cv.ee/toopakkumine/olerex-as/php-arendaja-f3979416.html

Võimalus asju paremaks teha
Kommentaarid: 215 loe/lisa Kasutajad arvavad:  :: 3 :: 2 :: 182
tagasi üles
vaata kasutaja infot saada privaatsõnum
olavsu1
külaline
sõnum 28.11.2019 15:18:09 vasta tsitaadiga
veel midagi bensujaamade teemal....

https://krebsonsecurity.com/2019/11/hidden-cam-above-bluetooth-pump-skimmer/

kuidas meil bensujaamades lutika kindlusega on?
tagasi üles
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga
sõnum 28.11.2019 15:31:26 vasta tsitaadiga
Meie pankadel oleks ammu aeg magnetribast loobuda ja poleks isegi teoreetilist ohtu kuna kiipi ei saa kopeerida. Magnetribaga kaarte võiks väljastada ainult kliendi nõudmisel kuna muud tolku sellest magnetribast pole kui see, et võib vaja minna kui reisida mõnda "banaanivabariiki" kus veel ainult magnetriba tunnistavad terminalid/automaadid kasutusel on.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Etz
HV Guru
Etz

liitunud: 27.01.2005



Autoriseeritud ID-kaardiga
sõnum 28.11.2019 15:32:47 vasta tsitaadiga
napoleon kirjutas:
võib vaja minna kui reisida mõnda "banaanivabariiki" kus veel ainult magnetriba tunnistavad terminalid/automaadid kasutusel on.


Spoiler Spoiler Spoiler
_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Kommentaarid: 223 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 192
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga
sõnum 28.11.2019 15:54:04 vasta tsitaadiga
olavsu1 kirjutas:
veel midagi bensujaamade teemal....

https://krebsonsecurity.com/2019/11/hidden-cam-above-bluetooth-pump-skimmer/

kuidas meil bensujaamades lutika kindlusega on?
mTasku või mõni muu äpipõhine makseviis ning lõunaeurooplased võivad oma skimmeritega lutsu visata.
Kommentaarid: 686 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 532
tagasi üles
vaata kasutaja infot saada privaatsõnum
Bilderberg
HV kasutaja
Bilderberg

liitunud: 26.08.2009
sõnum 28.11.2019 16:20:42 vasta tsitaadiga
napoleon kirjutas:
Meie pankadel oleks ammu aeg magnetribast loobuda ja poleks isegi teoreetilist ohtu kuna kiipi ei saa kopeerida.

See on ainult aja küsimus:
https://www.kaspersky.ru/blog/chip-n-pin-cloning/19864/
https://www.elechouse.com/elechouse/index.php?main_page=product_info&cPath=90_93&products_id=2264
ja minu arvates perspektiivis on eriti lihtne kopeerida kontaktivabu kaarte icon_exclaim.gif
Kommentaarid: 11 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 10
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga
sõnum 28.11.2019 16:31:12 vasta tsitaadiga
Bilderberg kirjutas:
napoleon kirjutas:
Meie pankadel oleks ammu aeg magnetribast loobuda ja poleks isegi teoreetilist ohtu kuna kiipi ei saa kopeerida.

See on ainult aja küsimus:
https://www.kaspersky.ru/blog/chip-n-pin-cloning/19864/
https://www.elechouse.com/elechouse/index.php?main_page=product_info&cPath=90_93&products_id=2264
ja minu arvates perspektiivis on eriti lihtne kopeerida kontaktivabu kaarte icon_exclaim.gif

https://www.kaspersky.com/blog/chip-n-pin-cloning/21502/
Inglisekeelne variant neile, kes pole venekeelse IT-terminoloogiaga eriti kursis.
Kommentaarid: 686 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 532
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga
sõnum 28.11.2019 17:30:29 vasta tsitaadiga
Selle vastu saaks tegelikult rohtu kui disainiks kaardid nii, et peale esimest laadimist sinna enam mingit äppi installida ei saa

EDIT: ja tegelikult on see juba üsna advanced häkk võrreldes skimmeriga. Alustuseks peab ju POS süsteemile ka ligi saama
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Turvalisus ja privaatsus »  Hiigelleke Olerexis: pätid said kätte kuni 100 000 kliendi andmed
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.