[Tanel]

link :: ERR


Eesti domeenireform viidi läbi suure kampaaniaga ja vaatamata mitmete asjatundjate kriitikale. Nüüd selgub lisaks, et kõigi ümberregistreeritud domeenide omanike ehk 60 000 isiku andmed lekkisid. Tänavu 14. augustil sai Räpinas elav IT-ekspert Tõnu Samuel vihje, et internetileheküljel virtuaal.ee on näha inimeste isikukoode ja muid andmeid ning sellega ei olda rahul, vahendas ETV saade "Pealtnägija". Tõnu Samuel läks veebilehele saadud informatsiooni kontrollima ning avastas, et kui panna otsingusse mõni domeen, et saada teada, kas see on vaba, siis saadakse lisaks sellele, et domeen ei ole vaba, teada ka omaniku nimi, isikukood, kodune aadressi ja telefoninumber.

Kõiki .ee-lõpulisi ehk Eesti rahvuslikke domeene haldab spetsiaalselt loodud Eesti Interneti Sihtasutus. Tema omakorda andis konkreetse registritoimingute tegemise töö lepingu alusel edasi kokku umbes 40 erafirmale. Virtuaal.com on üks ja kaugeltki mitte kõige suurem neist.

Uue domeeni loomine või vana ümbermuutmine on tehtud lihtsaks ja seda sai virtuaal.com-i kodulehel teha paari hiireklikiga. On normaalne ja ootuspärane, et süsteem teatab, kui otsitav domeen on juba võetud, ning näitab omaniku nime ja kontakti. Aga antud juhul asi sellega ei piirdunud.

Eesti Interneti Sihtasutuse (EIS) hinnangul ei ole aga tegemist andmete lekkega, vaid vargusega. EIS-i juhatuse liikme Jaak Lippmaa versioon juhtunust läheb Tõnu Samueli omast lahku ning eriti suur sigadus on Lippmaa sõnul see, mida end turvaeksperdiks nimetav Samuel edasi tegi.

"Ma hakkasin proovima, kas on olemas mingeid kaitseid. Kui ma hakkan vaatama järjest domeene, mille nimi on kapo.ee, teabeamet.ee, politsei.ee, juhanparts.ee jne, siis peaks minema kuskil põlema lambike ja see peaks viima selleni, et hakatakse asja uurima. Kusjuures paljudes asutustes on see lambike olemas ning mulle saabub telefonikõne, milles küsitakse, mida ma teen," selgitas Samuel.

Interneti sihtasutus: Samuel on sissemurdja

Lippmaa sõnul ei saa aga olla juttu sellest, et Samuel lihtsalt vaatas, et sai paari domeeni andmed kätte ning tahtis näha, kas kõikide omad saab kätte. "Ta oli enne hankinud juba kogu selle domeenide nimekirja, mille kohta üldse küsimusi esitada, automatiseeritult, mitte käsitsi," märkis Lippmaa. Tema sõnul näitab see seda, et tegemist oli ettekavatsusega ning Samueli plaan oligi kõik domeeni andmed kätte saada.

Samuel väidab, et tegemist ei olnud lihtsalt haiglase huviga teada saada inimeste andmeid, vaid ta katsetas, kas hakkab tööle mingisugune kaitsemehhanism, mida tema sõnul ei olnud.

Lippmaa sõnul peatas EIS aga Samueli tegevuse veel sel ajal, kui see toimus.

Samuel kopeeris endale kahe päeva jooksul takistamatult kõigi Eesti domeeniomanike andmed ehk veidi üle 60 000 isiku andmed, kellest enamik on firmade ja asutuste avalikud kontaktisikud. Kuid seal hulgas on ka ligi 16 000 üksikisikut, kes ei pruugi tahta, et nende mobiil ja koduaadress rändama lähevad. Samueli sõnul sai EIS toimunust aru alles siis, kui ta kolm päeva hiljem neile ise vihjas, milline massiivne turvaauk neil on.

Samuel andis aga oma avastusest ise teada veel Andmekaitse Inspektsioonile, õiguskantslerile ja politseile. Tema sõnul võis kes iganes samal moel samu andmeid alates domeenireformist, st umbes kümme kuud kopeerida. Lippmaa sõnul sarnast tegevust enne Samueli aga toimunud ei ole.

Nüüd käib kõva käeväänamine, kes juhtunus süüdi jääb. Nii vahendajafirma Virtuaal kui EIS väidavad, et andmed polnud laokil, vaid Samuel murdis sisse.

"Meie .ee domeenide infosüsteemi ühte osa kuritarvitati ja mindi mööda paikapandud turvameetmetest," ütles Virutaal.com juhatuse liige Tanel Kaldoja.

Samuel: andmete laokil hoidjad peavad vastutama

Samueli kinnitusel on aga tegemist täiesti lahtise teenusega, kus ei küsita ühtegi parooli ja koodi ning mitte ühtegi tehnilist nüanssi ning sissemurdmisega ei ole tema sõnul kindlasti tegemist.

Kaldoja sõnul ei saa täpseid turvameetmeid nimetada, kuid sisestades lihtsalt domeeni nime, ei kuvatud kõiki andmeid.

Kui andmed olid laokil, rikkus EIS neid halvasti hoides seadust, kui Samuel häkkis sisse, on rikkuja tema. EIS võttis taktika, et parim kaitse on rünnak ja andis asja politseisse ning nüüdseks ongi tunnistatud Samuel, kes ise turvaprobleemist teada andis, ametlikult kuriteo kahtlusaluseks.

''Ma tahan, et politsei ja andmekaitse inspektsioon uuriks selle juhtumi kõigepealt läbi, nii nagu ta teeb. Aga hetkel on lekkinud 16 000 inimese andmed ja vastavalt andmekaitseseadusele on nendel õigus pöörduda nüüd kahjunõudega lekkekoha juurde ehk Eesti Interneti Sihtasutuse poole kahjunõudega tsiviilkorras," rääkis Samuel. Ta loodab, et saab juhtumiga tekitada olukorra, et need, kes andmeid lohakalt hoiavad, hakkavad lõpuks vastutama.

Tõnu Samueli tembud on varemgi asutustele pinnuks silmas olnud. 2000. aastal sattus ta häkkerluse eest kohtu alla, sest kopeeris Eesti Telefonile kuulunud hot.ee keskkonnast 65 000 kasutaja andmed ja teavitas avalikkust leitud turvaaugust samuti telesaates. Lugu lõppes kokkuleppega, kui Samuel tunnistas rünnakut ja vabandas Eesti Telefoni ees.

Möödunud neljapäeval ehk pärast seda, kui "Pealtnägija" asja vastu huvi tundma hakkas, saatis EIS laiali teate oma süsteemi tehnilistest täiendustest. "Pealtnägija" kodulehel on aga nimekiri 15 000 inimese isikukoodiga (nimesid ja muid andmeid ei ole), mis lekkisid. Kui keegi tunneb oma koodi ära, siis järelikult olid tema domeeni registreerimisel esitatud andmed laokil.

[Ho Ho]

Teises teemas oli post kuhu tahtsin vastata:

[MaitK]

Selles osas oli huvitav lugeda eelmist teemat: Registripidaja Virtuaal.com opereerimine .ee domeenidega on ajutiselt peatatud
Saadud infost võib järeldada, et ülalnimetatud 2 asutust on sulaselgelt valetanud inimestele näkku, öeldes, et nende isikuandmed ei läinud jalutama, kuid praktika näitas vastupidist.
Ise õnneks kannataja pole, pole lihtsalt tarvis eraldi endale domeeni.
Küll aga oli huvitav vaadata EIS-i ja Virtuaal.com-i esindajate vingerdamist küsimustele vastates. Loodetavasti oli Samuel piisavalt tark ja dokumenteeris täpselt oma tegevused selleks, et tõestada kohtus oma süütust. Muidugi õige on see, et asja uurib politsei, kuid sellist piinlikku enesepäästmist, nagu kahe asutuse esindajad politseile viidates tegid, oli lihtsalt naljakas vaadata.

[mega]

[jägaja]

[Osiris]

Eks Saamuel ole EIS-ile pinnuks silmas. Seega Saamueli ründamine nede poolt oli täiesti arvatav tegevus.

Kui selle asutuse juhiks pannakse mitte IT teadmistega inimene (äri IT ei ole ikka see mida vaja sellise asutuse juhtimisel) - ja tööle võetakse ka omad joped siis mida sellest süsteemist veel tahta.

Enda info ka läks jalutama kui nimekirja vaadata.

[ruts8]

Mnjah, ka minu isikukood nimekirjas. Arvestades mis raha EIS kokkuvõttes saab, võiksid nende infosüsteemid vägagi hästi testitud olla...

[Ho Ho]

[Tanel]

Kontrollida saab oma isikukoodi: http://www.etv.ee/pealtnagija/pdf/isikukoodid.txt

[kpihus]

[blas]

See delikaatsete isikuandmete jutt on jama. Kellegi aadress, telefoninumber jms ei kuulu ega ole ka kunagi sellesse kategooriasse kuulunud.

[HDvurle]

[ander]

while read kood; do ldapsearch -x -b "ou=Authentication,o=ESTEID,c=EE" -hldap.sk.ee "SerialNumber=$kood" cn | grep 'cn:'; done < isikukoodid.txt

Põmm põmm põmm

[eShelobik]

No sorry, aga see ei ole normaalne, kui inimese kodune aadress, telefon, isikukood on sedasi kätte saadaval. Õnneks ma oma isikukoodi sealt ei leidnud...

[Tanel]

[ufo56]

[blas]

Nojah, teine täpsustus on see, et ega seadus ei kaitse ainult delikaatseid isikuandmeid. Süüteovastutus on võimalik ka juhul kui vastutav/volitatud töötleja on isikuandmete töötlemisel rakendanud ebapiisavad turvameetmed, eksinud muude nõuete vastu jms. Samuti kui andmesubjekt leiab et isikuandmete töötlemisel on rikutud tema õigusi, võib ta pöörduda kahju hüvitamiseks kohtusse.
Ses mõttes on Tõnu Samueli suund õige.

[djstyler1]

Tore minu isikukood ka sees, ei tea kas peaks hagi esitama

[smurfer]

Tõnu on tegija - paaril tema koolitusel käinud mõned aastad tagasi - tõmbas silmaringi juppmaad laiemale

[Laurikre]

Saade juba netis olemas:
http://www.e24.ee/580442/mees-suudistab-eisi-domeeniomanike-andmete-lekitamises/
Lauri Kreutzwald

[teretalv]

[Ho Ho]

apt-cache search ldap?

[Morrandir]

Süüdlaste käitumine on masendav - enese süü tunnistamise ning vea parandamise asemel asuti lihtlabasele vasturünnakule inimese vastu, kes vea avalikustas. Ma ei usu, et keegi varem virtuaal.com'ile ega EIS'ile polnud kaevanud, et isikuandmed nii lihtsalt kättesaadaval on. Nüüd siis etendatakse ei-tea-mitmendat järge Gogoli Revidendile.

[ander]

Virtuaal.com-ist jäi küll nüüd väga halb mulje.
Ei saa öelda, et ta valetas rahvale otseeetris, sest süüdimõistvat otsust pole, kuid eks näoilme ja külm higi otsa ees (mul on HD teler, detailid!) näitavad nii mõndagi.

[alliance]

Parim kaitse pidavat rünnak olema:P

[UB]

[mario20031]

nothing important

[Laurikre]

[Ho Ho]

[in-sane]

Mis siin isikukoodi üle ikka nutta.

Mine googlisse kirjuta kellegi huvipakkuva nimi ja teiseks sõnaks ametlikud teadaanded ning kenasti saad teada kas inimene on kohtutäiturile võlgu vms ja ka isikukood on seal kenasti olemas koos nimega.

http://www.ametlikudteadaanded.ee Ja tegemist on riigi lehega.

[tfr]

Huvitav, et kui see lugu algselt välja tuli, oli see hoopis teistsugune - et kuna Virtuaal.com on volitatud registripidaja, siis neil on lepingu alusel täiesti arusaadavalt ligipääs .ee domeeni andmebaasile selle täies ulatuses, nemad tegid selle aga kogemata kogu maailmale avalikuks. Sellest tulenevalt oli ka uudis, et Virtuaal.com registreerijastaatus/ligipääs sai piiratud.

Nüüd on aga asi keeratud puhtalt EIS-i bashimise peale. Ma saan aru, et Samuelil on EIS-iga oma igipõline kana kitkuda, aga antud juhul nemad milleski rohkemas kui sitas PR-is minu arust süüdi ei ole.

[pppd]

[Hollow]

äkki sellepärast, et saaks kontrollida, ega yks või teine domeen juba kellelegi olemasolevale ei kuulu või et keegi midagi pahatahtlikult ära ei kasuta, siis andmete cross-cheki teha!?

ahjaa, minu IK ka sees olemas

[Ho Ho]

[Hollow]

asjade kontrollimise mõttes... koostada statistikad vms. põhjus ei ole oluline

[pppd]

iga registripidaja tehku oma statistikaid ja kontrolle omaenda klientide baasil, suurte graafikute joonistamisega peaks EIS ise ka hakkama saama. Kui EIS ei suuda välja tuua ammendavat selgitust, miks pidid kõik registripidajad tervet nende baasi nägema, siis sisuliselt toimus see "andmete lekitamine" juba sellel hetkel kui registripidajatele selle baasi ots kätte anti.

EDIT: võibolla on vaja selgitust, miks ma siin põrkan. Kui ma valisin registripidaja, siis ma eeldasin et minu andmete eest vastutavad see registripidaja ja EIS. Mitte kuskil ei näinud ma omal ajal hoiatust et minu andmeid jagatakse KÕIKIDEGA keda EIS kunagi registripidajana peaks aktsepteerima (ja mul on jäänud mulje et kvalifitseeruvad kõik kes suudavaad neile selle tagatisraha ära maksta).

[mahno]

Põhjus on vägagi oluline. Igasuguse turvalisuse esimene alustala on see, kui juurdepääs antakse nii vähe kui võimalik ja nii palju kui vajalik. Seega, kui ei ole põhjust juurdepääsu andmiseks siis seda ka ei anta. Pole püssi, siis jäävad ehk ka jalad alla.

[jaagupk]

Selles suhtes, et kui keegi plaanib esitada mingit kahjunõuet või midagi siis andku teada ja ma võtaks sealt ka hea meelega osa.

[duplex]

virtuaal.com on süüdi talle usaldatud andmete lekitamises. Lippmaa ja Co pesevad ennast puhtaks. Registripidaja ja EIS-i vahel sõlmitakse ju leping kus konfidentsiaalsuse nõue on sees. Siit edasi on kogu vastusus kanda registripidajal.

Tõnul tuleb vist nüüd kohtus aru anda lekkivast kohast andmete varastamise eest. See ei ole lihtne. Iseasi oleks teha manuaalselt 10 päringut ja anda lekitajast teada. Teine asi on teha automatiseeritult 60000 päringut ja andmed salvestada. Viimase tegevuse jaoks tuleb ikka natukene rohkem vaeva näha kui lihtsalt kodulehel ringi klikata.

Samas ega need isikuandmed nüüd kõrgel tasemel riigisaladus ka ei olnud. Kõiki andmeid on võimalik tänasel päeval inimese kohta netist otsida. Ainuüksi google otsing annab reeglina isiku kohta rohkem andmeid kui igasugused muud andmebaasid. Kui isikukood või aadress on niivõrd salajased siis tuleks https://kinnistusraamat.rik.ee/ , https://ariregister.rik.ee/ , http://www.ametlikudteadaanded.ee/ jne kõik sulgeda sest need sisaldavad kohati veel delikaatsemaid andmeid.

Pakun, et kui whois päringuga saanuks kohe domeeni omaniku aadressi ja isikukoodi teada, poleks seda jama olnud. Keegi poleks kurtnud ja huvi tundnud Nüüd aga selgus, et "issand jumal mu aadress on kopeeritud kurja häkkeri poolt". Samal ajal kui see on netist mujalt 10-nest kohast leitav. Samuelil pole nende andmetega mitte kui midagi peale hakata. Kui siis ainult domeeniomanike ärikataloog teha mis konkureeriks 1188 ja 1182-ga.

[Ho Ho]

[eShelobik]

mis seal vahet , kas käsitisi või automaatselt. Andmed olid kätte saadavad mõlemat pidi, ilma, et kuskilt läbi tuli murda. Üldiselt need, kellel võiksid olla pahatahtlikud soovid nende andmetega ei vaevukski käsitsi neid kopeerima. Ja vaevalt, et Tõnu neid andmeid kuritarvitada plaanis, pigem juhtis tähelepanu lekkekohale.

[Hollow]

laias laastus sama keiss mis oli selel hoti asjaga kus andmed olid ilma takistusteta kätte saadavad ja tema läks ja lihtsalt võttis mis oli ripakil... mindi siis kohtusse, arvatavasti minnakse ka seekord, lepiti siis eesti telefon vs. samuel diil kokku tehakse seda ka arvatavasti seekord

[andris9]

Hoti puhul ei olnud kasutajate andmed vabalt kogu ilmale saadavad, vaid Samuel murdis sinna sisse (kuigi tegelikult oli probleem Hoti turvaaukudes, mis sellist tegevusk kergesti võimaldasid). Virtuaal.com'i puhul aga oli tegu igaühele vabalt nähtava infoga, seega ei saa seda küll sissemurdmiseks pidada ning Samueli süüdi mõista.

[tahanteada]

Kuna foorumlane, Lp. d3t pole veel oma kodulehel, BattleIT, olevat teemakäsitlust siia linkinud, siis ehk ei pahanda, kui selle ära teen.

Pealtnägijas esitatud eksitavate väidete ümberlükkamine
Kategoriseerirud kui Ajaleht - Autor Sander Soots, Neljapäev, september 29, 2011
http://www.battleit.eu/pealtnagijas-esitatud-eksitavate-vaidete-umberlukkamine/

[andris9]

[tihas]

Pange tähele, varsti võetakse kasutusele termin "browseripõhine kasutamine" vms bullshit, millega tehakse linkide ise meisterdamine kuritööks. Kui andmed on avalikus serveris avalikul lehel, aga ühtegi teed sinna lehele ei vii, siis on see nende andmete lugemine kuritegelik (Peek ja Lepik vs. USA väärtpaberiamet). Ma arvan et sinna kanti see EIS tüürib..

[Ho Ho]

[Tanel]

[Ho Ho]

[tihas]

Kõigepealt püüavad äärmiseks teha Samueli. Kui see ei õnnestu, siis saab ilmselt see Virtuaal.com vastu hambaid ebarahuldava andmekaitse eest.