RIA parandas kriitilise vea ID-kaardi brauserilahenduses
Riigi infosüsteemi amet (RIA) parandas jaanuari lõpus ID-kaardi brauserilaienduses kriitilise vea, mille aitasid avastada Tartu Ülikooli teadlased.
Viga oli internetibrauserite (Chrome, FireFox, Safari, Internet Exploreri Edge, Edge Chromium) laienduses, mis võimaldab kasutajal end ID-kaardi abil veebilehtedel autentida.
RIA andmetel seda nõrkust kuritegelikult kasutatud ei ole. Vea ära kasutamiseks oleks kurjategija pidanud omama kontrolli veebilehe üle, kus kasutajad end ID-kaardiga identifitseerivad. Sellest saadud infoga oleks saanud kasutaja nime all teistesse e-teenustele sisse logimiseks ilma, et kasutaja ise seda teaks.
"Nõrkus polnud selline, millele võinuks kurjategijad lihtsalt otsa komistada, vaid selle avastamiseks tuli vaeva näha ning teoreetiliseks kuritarvitamiseks oli vaja ka omada kontrolli veebilehe üle, kus saab end ID-kaardiga autentida," täpsustas RIA elektroonilise identiteedi osakonna juht Mark Erlich.
Brauserilaienduse uuendamise järel peavad ka osad e-teenused muudatusi tegema. Seni, kuni e-teenus pole värskeid uuendusi sisse viinud, ei saa sinna ID-kaardiga sisse logida. RIA teada on selliseid teenuseid aga vähe.
Suuremad e-teenuse pakkujad on vajalikud uuendused teinud ning ID-kaardi kasutamine ei ole neis teenustes häiritud.
Toimetaja: Tuuli Kalev