[Tanel]

Forte andmetel tuvastasid ja peatasid Riigi Infosüsteemi Ameti (RIA) infoturbe eksperdid massilise dokumendifotode allalaadimise isikut tõendavate dokumentide andmebaasist.

Hetkel teadaolevail andmeil võimaldas kuritöö toime panna turvanõrkus RIA hallatavas fotot vahendavas teenuses. Juhtum tuli ilmsiks nädal tagasi.

Allikas: https://forte.delfi.ee/artikkel/94134333/otsepilt-ja-blogi-suur-andmeleke-riigi-andmebaasidest-alla-laaditi-massiliselt-eesti-inimeste-dokumendifotosid

Vaata otseülekannet: https://www.err.ee/1608290874/otse-kell-11-ria-ja-keskkriminaalpolitsei-pressikonverents-kuberjuhtumist

[Tanel]

[Dirty Harry]

Kokkuvõttev artikkel: https://www.err.ee/1608290994/kuberrundaja-laadis-alla-ligi-300-000-dokumendifotot

[Risto40]

Kuidagi väga palju ilmub neid uudiseid, et riigi, või sellega seotud juriidliste isikute andmebaasid lekivad. Need andmebaasid, mis sisaldavad meie isikuandmeid, sh biomeetrilisi andmeid, peaksid olema ju ühed turvaliseimad Eestis. Kui need asjad välja lekivad, see on ju põmst sama, kui anda oma korteri võtmed ja aadress tänaval esimesele vastutulijale. Kuidas saab sellist riiki usaldada? Pakun, et pole kaugel ka päev, mil lekivad välja nimelised andmed, kes meist on covid-19 vaktsiini saanud, kes mitte.
Ei tea kas siin on viga riigihanke seaduses, et võetakse odavaim pakkuja ja kvaliteet on teisejärguline.. Lihtsalt uskumatu.

[Mnator]

loe artiklit, ei lekkinud andmebaas vaid teenus oli valesti tehtud, et võimaldas valel/kontrollimata isikul allalaadimist
ja võib arvata, et andmed nende rünnete jaoks olid eelnevalt saadud õngitsuskirjadega, kus küsitakse isikuandmeid...

[joulukas]

[Dirty Harry]

[kreisa]

[Bilderberg]

[Dirty Harry]

[kussu]

[indrpo]

Näib nagu see pildipank on ka ajast ja arust.
Logid oma IDkaardi rakendusse sisse ja siis vajutad "laadi alla" pildi kohal. Pilt laetakse alla.
Ei pea eriline IT spetsialist olema, et näha, kuskohast ja kuidas pilt alla laetakse, ja siis tulistad kogu kausta oma arvutisse. Sain aru, et kogu info mis sul eelnevalt olemas pidi olema, inimeste isikukood, ja siis "downloader" käima.
ID kaardi haldustarkvara oleks siis võinud pildi laadimisel vähemalt teha uuesti PIN autentimise ja siis tuleb nähtavale.. kui kellelgi seda hädasti vaja oleks olnud.

See bugi polnud mitte mingi rahastuse küsimus, et mitu miljonit me igal aastal IT taristusse eRiigis kulutame vaid kellegi tegemata töö. See mille eest on juba korra makstud.
Minister rõõmsalt kuulutas, et tal igal aastal plaan mingi SKP tulistada eRiiki ja RIAsse, aga see ju ei lahenda bugisid, turvaauke ja probleeme. Raha makstakse ju ka täna igal aastal, küsimus on, kas klaviatuuri taga mees tegi töö ära või mitte.

[napoleon]

Mis selle fotoga ikka niiväga pihta hakata. Suurema osa inimeste puhul pole isegi midagi häkkida vaja kuna nad on ise oma pildid avalikult sotsiaalmeediasse üles riputanud.

[indrpo]

See ongi kõige suurem müsteerium mille politsei avaldab hiljem, mida kahtlustatav teha tahtis nende piltide, isikukoodide ja nimedega.
Praktikas tõesti midagi asjalikku ette ei kujuta.

[Tanel]

[A.S.]

Arvutis olev tarkvara ilmselt küsis PIN-i, mitte pildiserver, seega uurid lingi välja ja sikutad, palju jaksad?

[zyclon]

[indrpo]

Elukaaslane oli hommikul paanikas, sai siis selle teavituskirja politseist, et tema andmed on lekkinud.
Selgitasin.

[kalvis]

Kui just modell pole siis polegi suurt sellest pildivargusest karta. Mitte küll nii head aga turvakaameraga kesklinnas saad ju lõustasid samapalju...
Näitab aga see ABIS seaduse võimaliku nõrkust, sealgi kardeti andmete jooksupanekut. Tõestus käes, et nii lihtne see ongi...

[ykshuntka]

Naine sai ka selle teavitus meili.
Naise ik, nimi avalik ja 2021a pilt googlega leitav.
Midagi veel lekkis aga noh kõike ei avaldata.

[olavsu1]

nojah, kui inimesed vabatahtlikult ei anna (moblakaanerad teibitud) siis varastame....

jälitusmaniakid tahavad omi sala andmebaase värskendada, mille abil huvipakkuvaid isikuid kompromiteerida.

[AWsander]

Sain ka PPA meili et pilt laeti alla, mingit hirmutunnet ei tekkinud, 2010-2015 aastal sai hunnikutes pilte avalikult lõustaraamatusse topitud, mis see üks dokumendipilt ikka on. Pigem tekib küsimus kust saab keegi 300k nime ja isikukoodi ning oskab omavahel kokku viia. Enda nime googeldasin ei leidnud kusagilt isikukoodi ja isikukoodi googeldades ei leidnud üldse midagi. Kaks sõpra on sama nimega (pole sugulased ) üks sai teate, teine ei saanud.

[Risto40]

[Mõttetumees]

Mu emal õnnestus teha väga jube dokumendifoto. Umbes nagu surnukuuris oleks paar nädalat elavate kirjast lahkunut pildistatud. Hommikul sai naeru pugistatud, et paras pätile, et seda vaatama pidi.

[olavsu1]

Risto40, on tegijateski asi. vihje: Imre Perli, riikliku värgiga samal ajal aretas ka ebaseaduslikku klooni ja müüs sellele juurdepääsu.

[mikk36]

[mikk36]

[kussu]

Mul elukaaslane sai ka hommikul kirja, et tema foto allalaaditute hulgas. Samas ei ole tema IK internetist niisama leitav ja perenimi nii haruldane, et selle sidumine ja googeldamine ei anna midagi. Samuti ei ole õngitsetud
Seega minu kahtlus, et ka IK ja nimede andmebaasis käidu, kas siis mõne webpoe omas vms.

[olavsu1]

[Mnator]

[elukaz]

Polegi mingit andmebaasi vaja, isikukood on niivõrd triviaalne et need arvab lihtsalt ära. Ainult kaks viimast numbrit on random. Kui sedagi.

Kui isikukood käes siis nimi tuleb ise andmebaasist välja, nagu Ott pahaaimamatult vahele jäi.

[jägaja]

[filx]

Huvitav, et nii palju kui ma kuulen ja siit loen siiis ainult naissooesindajad on ohvrid.

[H_K]

Kunagi olid vist isikukoodid avalikumad ka, siis kui neid andmebaase USB pulga ja CD peal liigutati. Vabalt need kunagised andmete riismed võivad kellelgi tänini tallel olla. Samuti IT taustaga isikud võivad isikuandmetel läbi töö ligi pääseda, keegi neid riigi andmebaase ju progeb, testib ehk omab ligipääsu, mida tavainimene ei oma. Ma ei tea progemise detaile aga kas ei ole võimalikud mingid testkeskonnad, kus on kopeeritud päris andmebaasisist andmestik testsüsteemi, kus kinnises (turvalises) eraldatud süsteemis saab vabalt kõike testida, aga testijad on inimesed, neid võib aastate jooksul kümneid inimesi andmetega kokku puutuda ja kui keegi võtab "tööd koju" kaasa nö igaksjuhuks, ei teegi andmestikuga midagi paha, lihtsalt hoiab kuskil kettal, kuni jagab seda sõbraga, sõber oma sõbraga jne- lihtsalt põnev ju kui selline andmestik on käepärast. Selline andmestik ei oleks ajakohane, ega täielik aga siiski märkimisväärne kogu.
Ära ei saa unustada ka igasugu dokumendihaldussüteeme ja muud pudipadi, mida kohalikud omavalitsused ja väiksemad institutsioonid kasutavad ja mida haldab suvalise taustaga IT tugi, kes arvatavalt pääseks ligi ka andmestikule ning tahmise korral võiks KOV-i või muu institutsiooni andmestikest omale koopiaid teha.
Arvan, et neid võimalusi, kus isiku nimele, isikukoodile aadressiandmetele ligi pääseb on hulgim.


Omaette teema on andmete kogumine ja süstematiseerimine avalikest andmetest, mis vist samuti ei ole lubatud, a'la istun politsei, kaitseväe, kapo jm väravas avalikus ruumis, kirjutan üles kõik autonumbrid ja ia isikud ja kellaajad jne. Mõni vaatleb loendab linde, teine dokumenteerib lennukeid, kolmas pildistab kõiki laevu, mis sadamat väisavad - lihtsalt erinevad hobid on inimestel..
Kunagi vist oli isegi poleemika sellest, kui üks raadiojaam ootas kuulajatelt kõnesid politseipatrullide asukoha kohta ja teavitas raadioeetris üldsust-kuulajaid "varitsevast ohust".
Sellist tegevust pandi võimude poolt samuti pahaks.
Nii võib ka avalikest internetiandmetest nö oma personaalse rahvastikuandmebaasi koostamine olla samuti küsitava legaalsusega tegevus. Erinevus võib sisse tulla mitte andmete avalikkusest, vaid nende kogumises ja süstematiseerimises, mis loob andmestest uue väärtuse, uute võimalustega.

Kas sellise andmekoguga pilt, isikukood, nimi annaks midagi kasulikku teha, kindlasti annaks, alates labasest mahamüümisest tumeveebis kurjategijatele või teiste riikide teenistustele. Kuni võltsidentiteetideni või nö näotuvastus, kus täna võib pea igaüks osta näotuvastust ja tehisintellektsuse algega kaamerasüsteemi aga mis kasu on süsteemist, kui ei ole millegagi võrrelda, aga kui on olemas pildipank koos isikuandmetega on süsteemil juba jumet. Kuigi ma ei tea, kas pelgalt dokumendipildist piisab pädevaks automatiseeritud näotuvastuseks aga küllap algoritmid mingi tõenäosusega midagi ikka välja raalivad.

Mina vaimustuses ei oleks, kui minu mistahes riigi kogutud andmed riigi käest veel lisaks tundmatutel eesmärkidel rändama lähevad. Usaldust see riigi suhtes ei tõsta ja kodaniku vaatest sunnib küsima, kas ei oleks parem, kui riigil oleks võimalikult vähe minu andmeid, sest riik võib neid ise kuritarvitada kodaniku vastu ja lisaks riigisüsteemide andmed lekivad, kohati süsteemselt.
Ka riik ise ei tarvitse olla usaldusväärne isikuandmete käitelja, mõni aasta tagasi tuli ilmsiks, kuidas Eesti võimud edastavad Eesti kodanike isikuandmeid USA-le, omamata mingit teadmist ega võimu, kuidas USA saadud andmetega edasi käitub, kuidas säilitab, milleks kasutab, kellele edasi jagab - lihtsalt USA küsib ja Eesti riik annab ning küsimusi ei küsi.
Tegemist oli USA saatkonna turvalisus küsimustega, kus Eesti riik siseministeeriumi kantsleri isikus sõlmis saatkonnaga lepingu, mille järgi Eesti võimud kohustavad tuvastama kõik küsitud isikud, sõidukid ning edastama andmed saatkonnale. Poleks hullu aga USA saatkonna turvaperimeeter kaasavat ka naaberkvartaleid ning sisuliselt Eesti igaühe andmed, kes piirkonnas liiguvad võivad Eesti võimude abil minna võõrriigile, kes kasutab neid oma vabal äranägemisel. Samuti siseministeerium ei avalikusta, mis oli ja on andmete maht mida küsitakse ja edastatkse.
Juba see näide ilmestab, kuidas Eesti riigis võib üks ametnik isikuandmeid lihtsalt jagada, ilma arutelu, kokkulepete, teadmiseta ja garantiideta, kas neid jagatud andmeid hiljem kodaniku vastu ei kasutata või kellele neid edasi jagatakse.

[AWsander]

[lurr]

nimi, pilt, IK - võltsime ID kaarte, mis teadupärast kehtivad passiga samaväärselt.
Laenud, järelmaksud, notaritehingud jne.

[Dirty Harry]

[Lauriy]

[kevku]

Kui keegi kellegi lõusta tahab võib selle vabalt osta https://clearview.ai/ saidilt pole vaja midagi häkkida.

[napoleon]

[degreal]

Kas mitte vanasti toru.hot.ee ftp serverist kõikide eestlaste isikukoode ja nimesid ei saanud? Nüüdsis läksid käiku.

[jägaja]

[Betamax]

[Sold OUT]

[ahoioi]

[Dirty Harry]

ahoioi, noh, kui me ei saa Delfi kommentaare uskuda, siis mida me üldse saame uskuda?!

Siiski - kui isegi füüsiliselt mingi piirini on kaart võltsitav ning petab äkki ära hooletuma notari (mis kõik kokku on ikka üsna keeruline), siis seda tarkust kiibil ikka niisama ei võltsi. Nagu tegelikult ka.

https://blog.ria.ee/id-kaardi-okosusteem/ - kogu see maailm pole niisama lihtne, et lähed iina ja lased tehasest kaarte välja.

[ykshuntka]

Enamus pilte jne. kuulusid naistele.
Kes nende vastu huvi tundis?!
Kurikaela ei tabata?

[jägaja]

[mmsme]

Mitu korda on mainitud vanu ik andmebaase. Samuti õngitsemist. Aga...! Minu abikaasa on Eestis väga värske, elamisloaga. Elamisluba on ID-kaardi sarnane (kuid mitte identne) plastikkaart koos kiibiga. See väljastati talle koos isikukoodiga eelmise aasta augustis.

Tema sai samuti politseilt kirja. Üheski vanas andmebaasis ta olla ei saanud ja oma isikukoodiga ta kuskil figureerinud pole, on Eestis nõnna värske veel. #gofigure

[KrisC]