SEB turvaauk lasi teise isiku rahaasju piiluda
/nginx/o/2020/10/30/13445326t1ha8f2.jpg)
9. aprill 2011, 00:45
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Veel reede päeval sai kõrvalseisja teatud tingimusi täites teise inimese SEB netipanga kontole ligi vaid ühe hiireklikiga. Pank tegi ohu kõrvaldamiseks muudatused õhtul.
SEB netipanga kliente varitsevast ohust teavitas panka ja seejärel ka Tarbija24 toimetust neljapäeva pärastlõunal Tartu Ülikooli tudeng Kristjan Jõgiste.
Tudengi kirjeldatud tee teise inimese netipanga lehele oli järgmine: kasutaja logib netipanka sisse ja kopeerib avanevas aknas ilmuva kontonumbri ja saadab selle edasi. Kontonumber läheb teele kui link ja sellele lingile vajutades avaneb saatja netipank täies hiilguses.
Teise inimese netikontole pääsemisel oli aga veel kaks lisatingimust – arvutid, kust kontonumber teele pannakse ja kus see vastu võetakse, peavad asuma ühes võrgus. Ühes võrgus asuvad tavaliselt kontori, kooli vms asutuse arvutid. Lisaks peab numbri saaja linki kasutama kohe.
Et kõik just sel moel toimib, tõestas ka Tarbija24 neljapäeva õhtul tehtud katse. Netipangast kopeeritud kontonumber saabus lingina ja sellele kärmelt vajutades avaneski saatja internetipanga konto.
Näha sai konto numbri saatja rahalaekumisi ja väljaminekuid, laenukohustusi ja muid sarnaseid andmeid. Rahaülekande tegemine siiski ei õnnestunud, sest selleks küsis pank paroole.
SEB tehnoloogiadivisjoni juhi Tammo Otsasoo sõnul teadis pank sellisest võimalusest.
«Oleme sellest riskist teadlikud, kuid selle realiseerumiseks peab olema tõesti täidetud rida eeldusi – kasutaja peab ise logima sisse oma netipanka, sealt kopeerima lingi ja selle edasi saatma teise samas võrgus asuvale arvutile, edasisaadetud lingile tuleb vajutada enne, kui kasutaja on oma internetipangast väljunud,» kommenteeris ta reede pärastlõunal.
Võimalust, et kõrvalseisja oleks pääsenud ligi panga kliendi rahale või saanud teha autoriseerimata tehinguid, Otsasoo kinnitusel polnud. Samuti olid väljaspool igasugust ohtu ID-kaardiga netipanka sisenejad.
Arvutivõrkude turvalisusega tegeleva CERT Eesti juht Hillar Aarelaid pidas kõikide eelnevalt kirjeldatud tingimuste täitumist igapäevaelus vähe tõenäoliseks ja märkis, et olulist ohtu ilmselt polnud.
Samas oli Aarelaid seda meelt, et pank oleks pidanud looma netipanga kasutajatele võimaluse kopeerida ja saata oma kontonumbrit vajadusel edasi kui lihtsalt numbrite jada, mitte kui linki.
Andmekaitseinspektsiooni peadirektor Viljar Peep pidas võimalust piiluda teise inimese internetipanka siiski tõsiseks rikkumiseks.
Panga klienditeabe lekkimine rikub nii krediidiasutuste seaduse kui ka isikuandmete seaduse punkte ning niisuguste rikkumiste eest määratavad trahvid ulatuvad 32 000 euro ehk vanas vääringus poole miljoni kroonini.
Kuigi Jõgiste esialgsest kontaktist SEBga võis järeldada, et pank teadis riskist juba varemgi, otsustati see kõrvaldada alles reede õhtul, vahetult enne loo ajaleheveergudele jõudmist.
«Otsustasime pärast noormehega vestlemist teha internetipangas muudatuse, et selline kontonumbri saatmine teisele inimesele ei tooks mingil juhul kaasa ebameeldivaid üllatusi,» ütles panga tehnoloogiadivisjoni direktor Otsasoo.
Panga pressiesindaja kinnitas veel enne töönädala lõppu, et nende IT-meeskond on muudatuste tegemiseks valmis ning need tehakse ära õhtutundidel, et häirida kasutajaid võimalikult vähe.