MyFitnessi iseteeninduses laiutas isikuandmeid paljastav ülilihtne turvaauk

MyFitnessi spordiklubi Ülemiste Citys. Kui näed klubis tuttavat inimest, võid lohaka turvapoliitika tõttu tema iseteeninduse kontosse pääseda. Foto: Toni Läänsalu/PM/Scanpix.

Täiendus: spordiklubi teatas, et parandas turvaprobleemi.

Eesti suurima spordiklubi MyFitnessi iseteeninduses on suur turvaauk, millega saab lihtsa vaevaga logida sisse paljude võõraste inimeste kontodele ja näha sealt nende isikuandmeid. Klubi teab veast juba kuu aega, kuid pole seda siiani parandanud.

“Olen sellest juba MyFitnessi teavitanud, aga neil on süsteemis üpris ränk turvaviga,” kirjutas Geeniusele üks lugeja ja näitas e-kirju, millega ta klubi veast teavitas. Vea tõttu saab MyFitnessi iseteeninduses teise inimese kontole väga lihtsasti ligi pääseda.

“Suvaliselt proovides sain juba neljanda e-mailiga MyFitnessi sisse logida,” tõi näiteks lugeja, kes püüdis hinnata turvavea ulatust.

Geeniuse toimetuse kontroll näitas, et teades MyFitnessi kliendi kohta täiesti avalikke andmeid, on võimalik tema kontole sisse logida, kui ta pole ise oma parooli käsitsi ära muutnud.

Nimelt määratakse kliendile iseteeninduse konto avamisel vaikimisi parool, mis on väga lihtsasti ära arvatav ka täiesti võõrastele inimestele. Teine probleem on see, et klienti ei sunnita seda parooli sisse logides muutma, mistõttu jäävadki inimesed kasutama ebaturvalist parooli. Kolmandaks saadetakse inimese parool talle lahtise tekstina e-postiga, mis teeb parooli lekkimise lihtsaks.

Inimese kontole sisse logides näeb vähemalt tema kontaktandmeid, lepinguid MyFitnessiga, treeningueelistusi, -ajalugu ja -plaane.

Geeniuse toimetus proovis artikli kirjutamise käigus seda turvaauku ka ise kasutada ning see osutuski just nii lihtsaks, nagu meile kirjutanud lugeja seda kirjeldas. Meil oli võimalik sisse logida võõraste inimeste kontodele ning nende andmeid näha.

Inspektsioon: lihtsasti tuletatav salasõna pole kindlasti turvaline

Andmekaitse inspektsiooni (AKI) avalike suhete nõunik Maire Iro ütles, et hetkel pole MyFitnessi vastu esitatud ühtegi kaebust ega pole käimasolevat menetlust.

“Kui vaikimisi määratud salasõna on lihtsasti tuletatav, siis ei ole see kindlasti turvaline ning sellise iseteeninduskeskkonna autentimine ja salasõnade haldus vajab ajakohastamist,” ütles Iro.

“Soovitame kõikides iseteeninduskeskkondades võimalusel alati kasutada kaheastmelist autentimist, sest üksnes salasõnadel põhinev autentimine ei ole enam turvaline,” lisas ta.

AKI avaldatud juhises “Turvaline e-pood”, milles antakse ettevõtjatele suuniseid internetis iseteeninduskeskkondade loomiseks, on sarnase probleemi eest ekstra hoiatatud.

“Elektroonilises müügi- ja ostuprotsessis on ülimalt oluline järgida turvalisuse põhimõtet – isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest,” on AKI rõhutanud.

Võimalik, et MyFitnessi praegune iseteenindus rikub isikuandmete töötlemise põhimõtted, mis on kirjas vastavas seaduses.

Muutke oma parool ära

MyFitnessi turundusjuht teatas pärast artikli ilmumist, et spordiklubi on võtnud ette samme turvaprobleemi lahendamiseks. Loe tema kommentaari siit.

MyFitnessi kliendid peaksid igal juhul kohe omale määratud konto salasõna ära muutma ja valima parooliks unikaalse, kordumatu ja võõraste poolt raskesti äraarvatava salasõna.

 

Täiendatud 14:45 MyFitnessi spordiklubi kommentaariga, muudetud vastavalt artikli pealkirja.