Эксперты Департамента государственной инфосистемы (RIA) остановили массовое скачивание фотографий с документов из базы данных удостоверяющих личность документов. Утечка стала возможной из-за уязвимости услуги по передаче фотографий, находящейся под управлением RIA. Полиция задержала подозреваемого и для выяснения обстоятельств произошедшего начала уголовное производство.
Подозреваемому удалось загрузить из базы данных документов, удостоверяющих личность, фотографии 286 438 человек, используя для этого поддельные цифровые сертификаты. Подозреваемый не получил доступа к базе данных, но в корыстных целях воспользовался уязвимостью в одной из услуг под управлением RIA, которая позволяла по отдельным запросам получать фотографию с документа человека. Сразу после обнаружения ненадлежащего использования RIA закрыл услугу передачи фотографий и устранил ошибку в системе безопасности. 23 июля полиция задержала в Таллинне мужчину, подозреваемого в виновном деянии.
Упомянутая услуга, уязвимость которой удалось использовать, построена таким образом, что для получения фотографий требуются дополнительные проверки пяти подсистем. Подозреваемый обнаружил уязвимость в одном из приложений RIA, которое в недостаточной мере проверяло достоверность полученного запроса. «Такая манипуляция с системами предполагает наличие знаний в соответствующей области, опыта и, как правило, продуманной подготовки. Злоумышленник должен был заранее знать имя и личный код человека, с помощью которых можно было создать у системы впечатление, что человек сам желает загрузить свою фотографию», – сказал генеральный директор RIA Маргус Ноормаа.
По словам руководителя бюро по борьбе с киберпреступлениями Центральной криминальной полиции Оскара Гросса, полиция вместе с экспертами RIA приступила к расследованию случившегося, в ходе чего удалось найти зацепки, позволившие установить подозреваемого. «Если обычно в случае киберпреступлений мы говорим о международной преступности, то в данном случае подозреваемый действовал в Эстонии, что позволило быстро его задержать. В ходе обысков следователи нашли в его владении скачанные из базы данных фотографии вместе с именами и личными кодами людей. На данный момент у нас нет оснований полагать, что подозреваемый злонамеренно использовал или передавал эти данные, однако в ходе расследования мы уточним возможные мотивы деяния», – отметил Гросс.
Эксперты RIA дополнительно проверили также другие услуги, чтобы исключить аналогичные уязвимые места в системе безопасности. «В результате мониторинга мы не обнаружили возможных путей атаки, но продолжаем проверку. Вместе с партнерами мы постоянно работаем во имя того, чтобы обнаруживать уязвимые места прежде, чем кто-то использует их в корыстных целях», – сказал Ноормаа.
По словам министра предпринимательства и инфотехнологий Андреса Суття, данный киберинцидент иллюстрирует постоянно растущие в мире киберугрозы, поэтому и в Эстонии повышается защитный потенциал киберсферы. «Кибербезопасность является неотъемлемой частью функционирования цифровой Эстонии и вопросом государственной безопасности. На протяжении последних месяцев увеличились частота, масштаб и интенсивность кибератак, что показывает изменившуюся картину опасностей в киберпространстве. В качестве примера можно привести атаки на госучреждения, инфраструктуру, системы здравоохранения, а недавно также на поставщиков услуг, от которых зависели шведские продовольственные магазины, или также, например, атаки программ-вымогателей на эстонские предприятия. Не миновали этой участи и наши государственные системы, поэтому в свете растущих киберугроз мы еще сильнее повышаем свой киберпотенциал. Если в государственной обороне у нас есть четкая цель – 2 процента от ВВП –, то в сфере кибербезопасности такой цели у нас нет, однако цифровое общество также нуждается в защите. Моя цель – договориться об аналогичном уровне для инвестиций в кибербезопасность, из чего получится международный мерный эталон», – добавил Сутть.
Всем, чья фотография с документа была незаконно скачана, Департамент полиции и погранохраны отправит извещение через государственный портал eesti.ee на указанный в системе личный адрес электронной почты. Ни один человек, чья фотография была скачана, не должен делать новую фотографию или ходатайствовать о новом документе.
На основании фотографии с документа, имени и личного кода человека нельзя войти ни в одну государственную э-услугу, заключать нотариальные и прочие финансовые сделки. Случившееся никак не повлияло на функционирование ID-карты, вида на жительство, Mobiil-ID и Smart-ID.
На основании имеющейся сейчас информации кража данных не связана с недавним случаем доступности личных данных, которые были видны в среде самообслуживания после входа в систему управления правами доступа.
Хронология
16.07 – SK ID Solutions сообщает RIA о возросшем числе запросов.
21.07 – В результате дополнительного мониторинга RIA обнаруживает массовое скачивание данных из базы данных документов удостоверений личности (KMAIS) и закрывает услугу.
22.07 – RIA фиксирует возможный IP-адрес, через который были скачаны фотографии с документов, и передает информацию в полицию.
22.07 – RIA начинает внутреннюю проверку, чтобы выяснить причину, которая позволила манипулировать механизмом контроля системы фотографий.
23.07 – Полиция задерживает мужчину, подозреваемого в скачивании данных, и проводит первые процессуальные действия.
23.07 – RIA вновь запускает исправленную систему фотографий, через которую человек может снова загрузить фотографию со своего документа.
23.–27.07 – RIA дополнительно проверяет возможность аналогичного вектора атаки в других услугах.
По информации Департамента государственной инфосистемы (RIA) Эстонии