Turvaauk: ühisteenuste veebist sai igaüks näha teiste inimeste ja sõidukite andmeid

Foto: Toomas Huik/PM/Scanpix

Ühisteenuste veebilehelt parkimine.ee sai turvavea tõttu iga huviline uuride kaaskodanikke trahve ja näha auto omaniku andmeid. Firma lubab, et auk on suletud ja selle kaudu võõraid andmeid uurimas ei käinud.

Lihtne “muuda URLis paar numbrit” trikk

Vea leidnud Siim (pärisnimi toimetusele teada – G. S.) sai Tallinnas parkimistrahvi ning mõnda aega hiljem meeldetuletuse, et trahv tuleks ära tasuda. Logides oma kasutajaga portaali nägi ta seal oma trahvi andmeid, kuid tähelepanu püüdis hoopis veebiaadress, mis oli kujul “…fine/123456”.

“Mõtlesin siis, et no proovin, kas elementaarsed turvablokid on siiski süsteemis olemas,” lausus Siim. “Hakkasin antud URL-is muutma viimaseid numbreid, 772217 muutsin 772218 ja ennäe, kuvatakse mulle võõra isiku trahv, samal hommikul on keegi veel trahvi saanud.”

Auto registriandmed nähtaval

Pääsedes ligi kellegi teise trahvile võis näha auto registreerimisnumbrit, omaniku nime ning omaniku elukoha aadressi ehk andmeid, mida tegelikult avalikult näha ei saa.

Üldine turvapraktika on, et veebilehe aadressis ei tohiks lihtsalt mõne numbri ehk parameetri muutmisega pääseda ligi teiste inimeste andmetele.

Siim andis asjast firmale teada, misjärel viga parandati.

Rohkem keegi andmetele loata ligi ei pääsenud

AS Ühisteenused linnaparkimise ja -pesulate juht Jaan Vill kinnitas, et turvaviga süsteemides tõepoolest oli.  “Edastasime info kohe IT-spetsialistidele, kes poole tunni jooksul vea parandasid. Lisaks kontrolliti üle kogu Parkimine.ee keskkond, selle ligipääsuõigused ja turvalisus,” lausus ta.

Ta märkis, et firma analüüs näitab, et peale selle inimese, kes vea avastas, ei ole keegi teine turvaauku kasutades andmetele ligi pääsenud. Turvavea avastanud inimene pääses ligi kuni kümnele trahviotsusele.

Tallinna transpordiamet teavitab isikuid, kelle viivistasu otsustele AS Ühisteenuste keskkonnas ligi pääseti, Parkimine.ee tekkinud turvaveast. “Transpordiamet tänab turvaveast teavitanud isikut, tänu millele on võimalik parkimine.ee keskkonda turvalisemaks muuta,” lisas ta.