"E-äriregistrist leidsime ettevõtte, kelle osanikuks on Kristen Michal, peaminister. Veebilehel on kirjas tema meiliaadress. Kui võtta näiteks Circle K veebileht ja üritada selle meiliaadressiga sisse logida, siis vajutades "sisene", küsib veebileht parooli. See vihjab sellele, et kasutaja on juba olemas. Järelikult Kristen Michal on Circle K klient. Kui üritada sisse logida meiliaadressiga, kes ei ole Circle K klient, näiteks rebaseonu@reform.ee, siis suunab see leht meid hoopis kasutajat looma. Niimoodi info lekkiski, et Kristen Michal, meie peaminister, on Circle K klient," selgitas IT-ekspert ja Tartu ülikooli vilistlane Gregor Eesmaa.

Eesmaa kaitses äsja Tartu ülikoolis magistritööd, mille tuumikuks oli säärase turvaaugu uurimine.

"Kindlasti olete näinud, et kui minna mõnele veebilehele, üritada sinna kasutajat teha, siis veebileht juba ütleb sulle, et sul on kasutaja olemas selle meiliaadressiga. Ma võtsin Eesti populaarseimad veebilehed ja käisin need üle, vaadates, kas ma leian selle turvavea. Kokku umbes 50 erinevat populaarset lehte käisin üle ja kõigil esines see probleem," sõnas Eesmaa.

Jutt käib just e-postiaadressi või telefoninumbriga tehtavatest kasutajakontodest veebis. Kui inimene kasutab omanimelist või muidu avalikult teadaolevat meiliaadressi või telefoninumbrit, on uudishimulikel või pahatahtlikel lihtne testida, kas näiteks mõnel tundlikumal veebilehel on huvipakkuval inimesel, olgu selleks peaminister või naabrimees, konto olemas.

"Näiteks saad otsida mõne kasiino lehelt, kas sul mõni tuttav on seal kasutaja, mõne kohtingusaidi pealt, et kas keegi, keda sa tead, on seal ja nii edasi," ütles Eesmaa.

Eesmaa selgitas, et selleks, et teada saada, kas mingisugusel tuntud tegelasel on näiteks veebikasiinos või tutvumissaidil konto, peab teadma isiku kohta mõnda infokildu.

"Email on kõige lihtsam. Lähed veebikasiino registreerimise lehele, paned selle emaili sinna sisse, üritad teha kontot. Kui konto loomine ebaõnnestub, siis on suure tõenäosusega tal juba konto olemas. Vahel see veebileht ütleb ka, et selle emailiga on juba konto olemas," rääkis Eesmaa.

Olgem selged – jutt ei käi sellest, et võõras saab kontole sisse murda, vaid saab üksnes teada, et kellelgi eksisteerib huvipakkuval platvormil konto. Üks asi, et inimesed ei pruugi olla vaimustuses, kui selline teave lekib, aga teine, et see läheb asjatundjate sõnul vastuollu Euroopa Liidu isikuandmete kaitse üldmääruse ehk GDPR-iga, mis kehtib juba alates 2018. aastast.

"Inglise keeles on tegemist sellise väljendi nagu user enumeration. Kahjuks sellele sellist head tõlget ei ole, aga meie käsitleme seda kui konto olemasolu tuvastatavus ehk sisuliselt mõni kolmas isik saab teada, kas minul, mis e-mailiga on näiteks konto mõne teenusepakkuja juures. See eelkõige avaldub selle läbi, et näiteks mõni veateade annab kinnituse, et jah, sellel kasutajal on konto või selle e-mailiga on konto või ei ole," sõnas andmekaitse inspektsiooni andmeturbe ekspert Eleri Karu.

Teadaolevalt esimesena tõmbas sellele Eestis süsteemselt tähelepanu Tartu ülikooli 27-aastane IT-tudeng Gregor Eesmaa, kunagine teadussaate "Rakett 69" vilistlane ja küberkaitseväelane.

Selle põhjal hakkas ta tänavu kevadel magistritööd koostama ja katsetuste käigus tuli välja, et see on laialt levinud probleem. Lisaks juba tehtud peaministri näitele on lihtsa vaevaga tuvastatav ka see, et justiits- ja digiministril Liisa-Ly Pakostal on kasutajakonto veebikaubamajas Zalando ja kultuuriministril Heidy Purgal on vormistatud Õhtulehe tellimus. Ent tundlikumaks läheb asi siis, kui see puudutab lapsi. Nii näiteks on ühel riigikogu liikmel, kelle nime jätame mainimata, kasutaja ühe Tallinna eliitkooli Stuudiumi lehel, mis võib tähendada, et tema laps käib selles koolis. Need on veel üpris süütud näited, sest on hulk lehekülgi, mis annavad vihjeid inimese tervise või intiimelu kohta.

"See on inimese jaoks ehk privaatsuse riive," lausus Eesmaa.

"Ilmselt inimesel on ju lootus ja ootus, et kui ma usaldan mõnele teenusepakkujale oma andmed, oma e-maili, oma ees- ja perekonnanime, mida iganes veel, siis seda hoitakse ja seda ei avaldata kolmandatele isikutele," sõnas Karu.

"See on ilmselgelt info, mida võib-olla sa ei taha, et sinu lähedased või tuttavad teaksid. Või kui sa oled ka avaliku elu tegelane, siis sa ju ei taha, et sind saaks kuidagi profileerida või sinu kohta mingit sellist tundlikku infot leida," ütles Eesmaa.

"Selle nii-öelda info teadasaamine võib sisuliselt mõne teise saidi puhul, näiteks tutvumisportaalid, hasartmänguga seotud või mõned täiskasvanu mõeldud saidid, anda päris palju infot selle isiku kohta," lausus Karu.

"Igasugune selline profileerimine võib anda kellegi kohta mingit teavet, mida saab kuidagi ära kasutada," sõnas Eesmaa.

Eesmaa kontrollis magistritöös 55 Eestis populaarset veebilehte ja äppi, millest üllatuslikult kõik võimaldasid sellisel moel kasutajaid tuvastada. Nende seas olid nii näiteks meediaportaalid Postimees, Õhtuleht ja Äripäev, aga ka ERR-i voogedastusplatvorm Jupiter, toidupoed Rimi ja Maxima kojutellimise äpp Barbora, ehitus- ja mööblipoed IKEA ja K-Rauta, aga ka veebikasiinod Olybet ja Bet365, vaimse tervise abileht peaasi.ee ning tutvumisportaalid Flirtic ja iha.ee. Naljakal kombel oli turvanõrkus ka andmekaitse inspektsiooni enda lehel, mis samuti näitab, et selle peale ei osatud lihtsalt varem mõelda.

"Andmekaitse inspektsiooni veebilehel oli võimalik registreerida andmekaitse inspektsiooni uudiskirja saajaks ja samamoodi, kui panna sinna email, kes juba saab seda uudiskirja, siis see veebileht andis ka sellest juba teada," ütles Eesmaa.

"Tõepoolest ka me ise saime teada, et näiteks meie enda uudiskirja tellimislingis oli seesama turvanõrkus juures, aga see oli üsna lihtsasti parandatav. Me tegime selle kohe korda," lausus Karu.

On normaalne, et turvavigu avastatakse ja ka lapitakse pidevalt, kuid antud juhul oli tähelepanuväärne, et kuigi tegu on käsitletav seaduserikkumisena, kui kliendi andmetega sellisel moel hooletult ringi käia, panid pooled teenuseosutajaid lihtsalt tuima, kui Gregor neile sellest suvel teada andis. Vastustes väideti nii seda, et nähtus on laialdane ja tegemist ei ole seaduserikkumisega kui ka seda, et viga on nii spetsiifiline, et eeldab katsetajalt tehnilist taipu. Augusti alguseks olid 55-st vaid 15 lekke ära parandanud, 13 lubas parandada, 14 keeldus parandamast ning 13 ei reageerinud mitte kuidagi. Viimasesse kategooriasse kukkus ka ERR-i Jupiteri leht. Ent oli ka üks markantne reaktsioon.

"Üks veebileht, About You veebikaubamaja ähvardas isegi kriminaalmenetlusega, mis oli väga üllatav. Üldiselt enamus vastuseid jäid ikkagi viisakaks," lausus Eesmaa.

Gregor kaitses magistritöö ära ja andis info edasi andmekaitse inspektsioonile, mis omakorda läkitas novembri teises pooles 27 turvaaugu parandamisest keeldunud või reageerimata jätnud ettevõttele ja organisatsioonile juba ametliku pöördumise.

"Juhtisime nende tähelepanu sellele ja põhjendasime ära, et kuidas on isikuandmetega seotud, miks on nii-öelda rikkumine ja selle võiks ning peaks korda tegema," lausus Karu.

Andmeturbe eksperdi Eleri Karu sõnul püüab inspektsioon algul heaga, kuid vea parandamisest keelduja suhtes on lõpuks võimalik algatada järelevalvemenetlus ja määrata sunniraha või hullemal juhul juba väärteomenetlus ja trahv.

"Võib-olla pole päris aru saada, et kas üldse ja kuidas see rikkumine on, võib-olla ei mõisteta seda, sest tihti me ei ole ka selle kasutaja vaates, et saame aru, mis tegelikult toimub. Ma loodan, et nüüd edaspidi võetakse ka selliseid asju tõsisemalt," sõnas ekspert.

"Inimesed, kellel on konto mõnel tundlikumal lehel, kus on selline leke, siis kindlasti peaks ühendust võtma veebilehega ja andma neile teada, et te ei soovi, et teie info lekiks," sõnas Eesmaa.