Mees süüdistab EIS-i domeeniomanike andmete lekitamises :: Hinnavaatluse Foorumid

Tanel · HV Guru liitunud: 01.10.2001

link :: ERR

Eesti domeenireform viidi läbi suure kampaaniaga ja vaatamata mitmete asjatundjate kriitikale. Nüüd selgub lisaks, et kõigi ümberregistreeritud domeenide omanike ehk 60 000 isiku andmed lekkisid. Tänavu 14. augustil sai Räpinas elav IT-ekspert Tõnu Samuel vihje, et internetileheküljel virtuaal.ee on näha inimeste isikukoode ja muid andmeid ning sellega ei olda rahul, vahendas ETV saade "Pealtnägija". Tõnu Samuel läks veebilehele saadud informatsiooni kontrollima ning avastas, et kui panna otsingusse mõni domeen, et saada teada, kas see on vaba, siis saadakse lisaks sellele, et domeen ei ole vaba, teada ka omaniku nimi, isikukood, kodune aadressi ja telefoninumber.

Kõiki .ee-lõpulisi ehk Eesti rahvuslikke domeene haldab spetsiaalselt loodud Eesti Interneti Sihtasutus. Tema omakorda andis konkreetse registritoimingute tegemise töö lepingu alusel edasi kokku umbes 40 erafirmale. Virtuaal.com on üks ja kaugeltki mitte kõige suurem neist.

Uue domeeni loomine või vana ümbermuutmine on tehtud lihtsaks ja seda sai virtuaal.com-i kodulehel teha paari hiireklikiga. On normaalne ja ootuspärane, et süsteem teatab, kui otsitav domeen on juba võetud, ning näitab omaniku nime ja kontakti. Aga antud juhul asi sellega ei piirdunud.

Eesti Interneti Sihtasutuse (EIS) hinnangul ei ole aga tegemist andmete lekkega, vaid vargusega. EIS-i juhatuse liikme Jaak Lippmaa versioon juhtunust läheb Tõnu Samueli omast lahku ning eriti suur sigadus on Lippmaa sõnul see, mida end turvaeksperdiks nimetav Samuel edasi tegi.

"Ma hakkasin proovima, kas on olemas mingeid kaitseid. Kui ma hakkan vaatama järjest domeene, mille nimi on kapo.ee, teabeamet.ee, politsei.ee, juhanparts.ee jne, siis peaks minema kuskil põlema lambike ja see peaks viima selleni, et hakatakse asja uurima. Kusjuures paljudes asutustes on see lambike olemas ning mulle saabub telefonikõne, milles küsitakse, mida ma teen," selgitas Samuel.

Interneti sihtasutus: Samuel on sissemurdja

Lippmaa sõnul ei saa aga olla juttu sellest, et Samuel lihtsalt vaatas, et sai paari domeeni andmed kätte ning tahtis näha, kas kõikide omad saab kätte. "Ta oli enne hankinud juba kogu selle domeenide nimekirja, mille kohta üldse küsimusi esitada, automatiseeritult, mitte käsitsi," märkis Lippmaa. Tema sõnul näitab see seda, et tegemist oli ettekavatsusega ning Samueli plaan oligi kõik domeeni andmed kätte saada.

Samuel väidab, et tegemist ei olnud lihtsalt haiglase huviga teada saada inimeste andmeid, vaid ta katsetas, kas hakkab tööle mingisugune kaitsemehhanism, mida tema sõnul ei olnud.

Lippmaa sõnul peatas EIS aga Samueli tegevuse veel sel ajal, kui see toimus.

Samuel kopeeris endale kahe päeva jooksul takistamatult kõigi Eesti domeeniomanike andmed ehk veidi üle 60 000 isiku andmed, kellest enamik on firmade ja asutuste avalikud kontaktisikud. Kuid seal hulgas on ka ligi 16 000 üksikisikut, kes ei pruugi tahta, et nende mobiil ja koduaadress rändama lähevad. Samueli sõnul sai EIS toimunust aru alles siis, kui ta kolm päeva hiljem neile ise vihjas, milline massiivne turvaauk neil on.

Samuel andis aga oma avastusest ise teada veel Andmekaitse Inspektsioonile, õiguskantslerile ja politseile. Tema sõnul võis kes iganes samal moel samu andmeid alates domeenireformist, st umbes kümme kuud kopeerida. Lippmaa sõnul sarnast tegevust enne Samueli aga toimunud ei ole.

Nüüd käib kõva käeväänamine, kes juhtunus süüdi jääb. Nii vahendajafirma Virtuaal kui EIS väidavad, et andmed polnud laokil, vaid Samuel murdis sisse.

"Meie .ee domeenide infosüsteemi ühte osa kuritarvitati ja mindi mööda paikapandud turvameetmetest," ütles Virutaal.com juhatuse liige Tanel Kaldoja.

Samuel: andmete laokil hoidjad peavad vastutama

Samueli kinnitusel on aga tegemist täiesti lahtise teenusega, kus ei küsita ühtegi parooli ja koodi ning mitte ühtegi tehnilist nüanssi ning sissemurdmisega ei ole tema sõnul kindlasti tegemist.

Kaldoja sõnul ei saa täpseid turvameetmeid nimetada, kuid sisestades lihtsalt domeeni nime, ei kuvatud kõiki andmeid.

Kui andmed olid laokil, rikkus EIS neid halvasti hoides seadust, kui Samuel häkkis sisse, on rikkuja tema. EIS võttis taktika, et parim kaitse on rünnak ja andis asja politseisse ning nüüdseks ongi tunnistatud Samuel, kes ise turvaprobleemist teada andis, ametlikult kuriteo kahtlusaluseks.

''Ma tahan, et politsei ja andmekaitse inspektsioon uuriks selle juhtumi kõigepealt läbi, nii nagu ta teeb. Aga hetkel on lekkinud 16 000 inimese andmed ja vastavalt andmekaitseseadusele on nendel õigus pöörduda nüüd kahjunõudega lekkekoha juurde ehk Eesti Interneti Sihtasutuse poole kahjunõudega tsiviilkorras," rääkis Samuel. Ta loodab, et saab juhtumiga tekitada olukorra, et need, kes andmeid lohakalt hoiavad, hakkavad lõpuks vastutama.

Tõnu Samueli tembud on varemgi asutustele pinnuks silmas olnud. 2000. aastal sattus ta häkkerluse eest kohtu alla, sest kopeeris Eesti Telefonile kuulunud hot.ee keskkonnast 65 000 kasutaja andmed ja teavitas avalikkust leitud turvaaugust samuti telesaates. Lugu lõppes kokkuleppega, kui Samuel tunnistas rünnakut ja vabandas Eesti Telefoni ees.

Möödunud neljapäeval ehk pärast seda, kui "Pealtnägija" asja vastu huvi tundma hakkas, saatis EIS laiali teate oma süsteemi tehnilistest täiendustest. "Pealtnägija" kodulehel on aga nimekiri 15 000 inimese isikukoodiga (nimesid ja muid andmeid ei ole), mis lekkisid. Kui keegi tunneb oma koodi ära, siis järelikult olid tema domeeni registreerimisel esitatud andmed laokil.

Ho Ho · HV Guru liitunud: 16.02.2002

Teises teemas oli post kuhu tahtsin vastata:

MaitK · HV veteran liitunud: 14.06.2005

Selles osas oli huvitav lugeda eelmist teemat: Registripidaja Virtuaal.com opereerimine .ee domeenidega on ajutiselt peatatud
Saadud infost võib järeldada, et ülalnimetatud 2 asutust on sulaselgelt valetanud inimestele näkku, öeldes, et nende isikuandmed ei läinud jalutama, kuid praktika näitas vastupidist.
Ise õnneks kannataja pole, pole lihtsalt tarvis eraldi endale domeeni.
Küll aga oli huvitav vaadata EIS-i ja Virtuaal.com-i esindajate vingerdamist küsimustele vastates. Loodetavasti oli Samuel piisavalt tark ja dokumenteeris täpselt oma tegevused selleks, et tõestada kohtus oma süütust. Muidugi õige on see, et asja uurib politsei, kuid sellist piinlikku enesepäästmist, nagu kahe asutuse esindajad politseile viidates tegid, oli lihtsalt naljakas vaadata.

mega · HV Guru liitunud: 12.02.2004

jägaja · HV Guru liitunud: 06.08.2004

Osiris · HV Guru liitunud: 12.08.2002

Eks Saamuel ole EIS-ile pinnuks silmas. Seega Saamueli ründamine nede poolt oli täiesti arvatav tegevus.

Kui selle asutuse juhiks pannakse mitte IT teadmistega inimene (äri IT ei ole ikka see mida vaja sellise asutuse juhtimisel) - ja tööle võetakse ka omad joped siis mida sellest süsteemist veel tahta.

Enda info ka läks jalutama kui nimekirja vaadata.

ruts8 · Kreisi kasutaja liitunud: 20.07.2002

Mnjah, ka minu isikukood nimekirjas. Arvestades mis raha EIS kokkuvõttes saab, võiksid nende infosüsteemid vägagi hästi testitud olla...

Ho Ho · HV Guru liitunud: 16.02.2002

Tanel · HV Guru liitunud: 01.10.2001

Kontrollida saab oma isikukoodi: http://www.etv.ee/pealtnagija/pdf/isikukoodid.txt

kpihus · Kreisi kasutaja liitunud: 14.04.2003

blas · Kreisi kasutaja liitunud: 27.01.2002

See delikaatsete isikuandmete jutt on jama. Kellegi aadress, telefoninumber jms ei kuulu ega ole ka kunagi sellesse kategooriasse kuulunud.

HDvurle · HV pensionär liitunud: 03.04.2002

ander · HV kasutaja liitunud: 01.03.2007

while read kood; do ldapsearch -x -b "ou=Authentication,o=ESTEID,c=EE" -hldap.sk.ee "SerialNumber=$kood" cn | grep 'cn:'; done < isikukoodid.txt

Põmm põmm põmm

eShelobik · HV Guru liitunud: 01.04.2003

No sorry, aga see ei ole normaalne, kui inimese kodune aadress, telefon, isikukood on sedasi kätte saadaval. Õnneks ma oma isikukoodi sealt ei leidnud...

Tanel · HV Guru liitunud: 01.10.2001

ufo56 · HV Guru liitunud: 18.11.2004

blas · Kreisi kasutaja liitunud: 27.01.2002

Nojah, teine täpsustus on see, et ega seadus ei kaitse ainult delikaatseid isikuandmeid. Süüteovastutus on võimalik ka juhul kui vastutav/volitatud töötleja on isikuandmete töötlemisel rakendanud ebapiisavad turvameetmed, eksinud muude nõuete vastu jms. Samuti kui andmesubjekt leiab et isikuandmete töötlemisel on rikutud tema õigusi, võib ta pöörduda kahju hüvitamiseks kohtusse.
Ses mõttes on Tõnu Samueli suund õige.

djstyler1 · HV vaatleja liitunud: 24.02.2006

Tore minu isikukood ka sees, ei tea kas peaks hagi esitama

smurfer · HV Guru liitunud: 15.08.2006

Tõnu on tegija - paaril tema koolitusel käinud mõned aastad tagasi - tõmbas silmaringi juppmaad laiemale

Laurikre · HV Guru liitunud: 20.09.2003

Saade juba netis olemas:
http://www.e24.ee/580442/mees-suudistab-eisi-domeeniomanike-andmete-lekitamises/
Lauri Kreutzwald

teretalv · HV veteran liitunud: 15.01.2006

Ho Ho · HV Guru liitunud: 16.02.2002

apt-cache search ldap?

Morrandir · HV vaatleja liitunud: 19.09.2003

Süüdlaste käitumine on masendav - enese süü tunnistamise ning vea parandamise asemel asuti lihtlabasele vasturünnakule inimese vastu, kes vea avalikustas. Ma ei usu, et keegi varem virtuaal.com'ile ega EIS'ile polnud kaevanud, et isikuandmed nii lihtsalt kättesaadaval on. Nüüd siis etendatakse ei-tea-mitmendat järge Gogoli Revidendile.

ander · HV kasutaja liitunud: 01.03.2007

Virtuaal.com-ist jäi küll nüüd väga halb mulje.
Ei saa öelda, et ta valetas rahvale otseeetris, sest süüdimõistvat otsust pole, kuid eks näoilme ja külm higi otsa ees (mul on HD teler, detailid!) näitavad nii mõndagi.

alliance · The Transporter liitunud: 23.11.2004

Parim kaitse pidavat rünnak olema:P