[Tanel]

Inimesed, kelle dokumendifoto oli ebaseaduslikult alla laaditud ei pea uut dokumenti ega fotot tegema. Intsident ei avalda mõju ID-kaardile, mobiil- ja Smart-ID-le ega e-teenustele.

RIA koos PPAga edastas täna varahommikul neile inimestele, kelle dokumendifoto ebaseaduslikult alla laaditi, teavituse riigiportaali eesti.ee kaudu suunatud e-posti aadressile. Paljud teate saanud inimesed on põhjendatult mures ning uurinud, kas ja kuidas andmete vargus neid mõjutab, mida nad saavad enda kaitseks teha ja kas nad ise on kuidagi valesti käitunud. Olukord on arusaadavalt tavatu ning tekitab küsimusi ja segadust.

„Kinnitan, et ükski inimene, kelle foto ebaseaduslikult alla laaditi, ei ole midagi valesti teinud. Andmete varguse tegi võimalikuks ründaja oskuslik tegevus ja turvanõrkus Riigi infosüsteemi ameti (RIA) ühes vanas teenuses. Parandasime selle turvanõrkuse süsteemis ning peatasime ründaja tegevuse kohe pärast intsidendi avastamist. Oleme ka teised sarnased teenused ennetavalt üle kontrollinud. Samuti on meil teadmine, et neid andmeid ei ole edasi saadetud ehk need ei jõudnud andmete allalaadija arvutist kaugemale. Mõistame, et kahju on tehtud ning ma ei soovi vastutusest kõrvale astuda. Vastutuse all pean silmas seda, et me teeme asjad korda ja paremaks, et välistada tulevikus sarnaseid ründeid. Palun andeks kõigi inimeste käest, et meie teenuses oli selline turvanõrkus ning et me ei avastanud seda varem,“ sõnas RIA juht Margus Noormaa.

Dokumendifoto ebaseaduslik allalaadimine ei avalda mõju ID-kaardile, Mobiil-ID-le ja Smart-ID-le. Kõik riiklikud e-teenused töötavad tõrgeteta edasi ning need on jätkuvalt usaldusväärsed, kuna foto, isikukoodi ja nime alusel ei ole võimalik siseneda e-teenustesse, anda digiallkirja ega teha erinevaid finantstehinguid (sh pangaülekanded, notariaalsed tehingud jne). Inimesed, kelle pilt koos nime ja isikukoodiga oli kahtlustatava valduses, ei pea uut dokumenti taotlema ega ka uut fotot tegema. Kõik isikut tõendavad dokumendid ning pildid kehtivad jätkuvalt.

Politsei esialgse hinnangu kohaselt ei ole kirjeldatud viisil kättesaadud andmeid edasi saadetud ega kuritarvitatud. Kui inimene kahtlustab, et tema andmeid on kuritarvitatud, tuleb sellest teatada politseile.

28. juuli 2021 pressiteade: PPA ja RIA peatasid andmete ebaseadusliku allalaadimise

Allikas: https://www.ria.ee/et/uudised/ria-taiendav-selgitus-andmevarguse-kohta.html

[Tanel]

https://epl.delfi.ee/artikkel/94154105/sander-vesik-mitte-kuberrunnak-eesti-vastu-vaid-uhe-riigiameti-saamatus-ja-sellelt-tahelepanu-korvale-juhtimine

[napoleon]

[Tanel]

ISP-i logid? 300 000 x 80KB = 24GB uploadi oleks ehk silma jäänud?
Või siis vana kooli moodi, mälupulga või ketta peale ja kuskile üle anda?

[napoleon]

Üle neti edastamiseks ei pea ilmtingimata ju enda kodust ühendust kasutama. Või siis jagada mingi torrentilaadse asjaga, siis ei jää ISP logis silma, et ühele IP-le selline hulk andmeid oleks saadetud.
Vanakooli moodi saab muidugi ka ja see pole sugugi vähetõenäoline kui ta need andmed kellelegi maha müüs ja see keegi soovib anonüümseks jääda.
Ühesõnaga võib siin rääkida tõenäosustest, aga mingit kindlat teadmist ei saa küll olla

[Tanel]

[napoleon]

Torrenti puhul on see nüanss, et võid teha mingi libatorrenti, mille nimi meelitab paljusid seda alla laadima. Aga need kes juba midagigi kätte on saanud hakkavad omakorda edasi jagama(enne kui neil terve torrent alla on laetud) ja tulemuseks on see, et summana näed küll, et 24G andmeid on liigutatud, aga liigutatud on palju pisikesi tükke erinevatele IP-dele ehk pole näha, et ühele konkreetsele IP-le 24G oleks saadetud.
Spekuleerimine küll, aga selleks et kindel teadmine tekiks et andmeid kuhugi edastatud pole peaks ilmselgelt liiga palju täiendavaid eeldusi võtma.

[kalvis]

Paljud teenused on krüpteeritud - ISP näeb IP-d, mahtu ja porti aga sisu mitte. Seega võidi andmed ikkagi laadida kuhugi, ilma et seda avastada saaks. Ja vanakooli meetod - USB pulk ja rohkem pole teada midagi. Tõenäoliselt on asja aluseks vahelejäänu enda tunnistus - olin loll ja ei laadinud kuhugi ülesse ega kopeerinud. Kohe kindlasti soovitab seda tema advokaat. Samas on see usutav - sm. ju IP-d ei vahetanud ja tegi seda oma arvutist - pigem avastas juhuslikult ja mõtles, et tõmban palju jäksan, eks pärast vaatan mis peale hakkan. Teadlik häkker poleks kohe kindlasti kasutanud oma IP-d

[Zonerman]

Politsei leidis ip järgi isiku üles. Enamus juhtudel, kui isiku ukse taha koputab politsei ja teatab, et selline tegevus on tehtud ja info on olemas, siis annavad teo toimepanijad alla ja tunnistavad üles.
Tõenäoliselt üks üsna loll isik oli, kes tegi seda enda kodust või ebaturvalise ühenduse tagant, millel puudusid segavad faktorid backtrace'iks.

[napoleon]

[wex]