Igaunijā kibernoziedznieks no valsts personas dokumentu datu bāzes lejuplādējis gandrīz 300 000 fotogrāfiju
Igaunijas Valsts informācijas sistēmu departamenta un Policijas un robežsardzes departamenta darbinieki atklājuši un apturējuši vērienīgu kiberzādzību, kuras gaitā šomēnes no valsts personas dokumentu datu bāzes kibernoziedznieks nelikumīgi lejupielādējis gandrīz 300 000 fotogrāfiju.
Vainīgais, kāds Tallinas iedzīvotājs, aizturēts un visi nelikumīgi iegūtie dati kratīšanas laikā viņam konfiscēti. Pēc nopratināšanas viņš atkal atbrīvots. Policija ierosinājusi krimināllietu, lai noskaidrotu, kā noziedznieks gatavojies šai zādzībai, kā to veicis un kādi bijuši viņa mērķi.
Laikā no 12. līdz 21.jūlijam no aptuveni deviņiem tūkstošiem dažādu IP adrešu Igaunijā un ārvalstīs lejuplādētas kopskaitā 286 438 fotogrāfijas. Šādu zādzību padarījusi iespējama drošības problēma RIA pārvaldītajā fotogrāfiju lejuplādes pakalpojumā, kurā lietotājs var lejuplādēt pats savu fotogrāfiju. Kibernoziedznieks izmantojis vājo vietu šā pakalpojuma drošībā, bet nevienai no paša RIA datu bāzēm nav piekļuvis.
16.jūlijā kompānija "SK ID Solutions" informējusi RIA par manāmu pieprasījumu skaita pieaugumu, bet 21.jūlijā RIA papildu monitoringa ceļā atklājis liela mēroga datu noplūdi no valsts personas dokumentu datu bāzes un slēdzis pieeju šim pakalpojumam, norāda departamenta pārstāvji. Nākamajā dienā RIA noskaidrojis iespējamo IP adresi, kas izmantota fotogrāfiju zādzībai, un informējis par to policiju.
Minētais pakalpojums veidots tā, ka drošības pārbaude pirms fotogrāfiju lejuplādēšanas tiek veikta piecās apakšsistēmās, bet noziedznieks bija atklājis vājo vietu vienā no RIA lietotnēm, kas pienācīgi nepārbaudīja pieprasījuma pamatotību.
RIA sācis iekšējo izmeklēšanu, lai noskaidrotu iemeslu, kas ļāvis manipulēt ar pakalpojuma kontroles mehānismu. Departamenta eksperti arī pārbaudījuši citus pakalpojumus, lai nepieļautu līdzīgas problēmas.
Kā pastāstījis departamenta ģenerāldirektors Marguss Normā, lai piekļūtu fotogrāfijām, noziedzniekam bija vajadzīgas labas iemaņas, bija jāveic rūpīga sagatavošanās un jāzina fotogrāfiju īpašnieku vārdi un personas kodi, lai sistēma uzskatītu, ka cilvēks grib lejuplādēt pats savu fotogrāfiju.
Vainīgais zadzis nejauši izvēlētas fotogrāfijas. Kā norāda RIA, ar viņa iegūtajiem datiem nav iespējams saņemt nekādus e-pakalpojumus.
"Runājot par kibernoziedzību, parasti mēs domājam starptautiska mēroga darbības, bet šai gadījumā aizdomās turētais darbojās Igaunijā, tādēļ bija iespējams visai drīz viņu aizturēt," norādījis Igaunijas Centrālās kriminālpolicijas Kibernoziedzības apkarošanas biroja vadītājs Oskars Gross. "Kratīšanas laikā izmeklētāji atrada viņa rīcībā nonākušās fotogrāfijas, cilvēku vārdus un personas kodus. Šai gadījumā mums nav iemesla domāt, ka aizdomās turētais šos datus izmantojis ļaunprātīgi vai nodevis tālāk, bet izmeklēšanas gaitā mēs centīsimies izdibināt viņa rīcības motīvus."
Policijas un robežsardzes departaments nedēļas laikā informēs visus, kuru fotogrāfijas tikušas nelikumīgi lejuplādētas. Nevienam no viņiem nebūs jāfotografējas no jauna vai jālūdz izsniegt jaunu dokumentu.
