Suur leke Olerexis: kurjategijate kätte sattusid kuni 100 000 kliendi andmed

 (69)
Täiendatud kell 17.08
Olerex, Circle K, Neste
Olerex, Circle K, Neste, kütuse hinnadFoto: Tiit Blaat

Tanklakett Olerex avastas esmaspäeval, et kurjategijad on süsteemi turvanõrkust ära kasutades pääsenud ligi hinnanguliselt 100 000 tehingu infole, millega koos said kättesaadavaks klientide isikuandmed alates nimest kuni dokumendi andmeteni.

Riigi Infosüsteemi Ameti (RIA) intsidentide käsitlemise osakond (CERT-EE) sai 9. juuli õhtul Olerexilt info, et kolimise tõttu olid avalikult kättesaadavaks jäänud ligikaudu 100 000 ärikliendi toimingut ehk info äriklientide tehingute kohta.

„Meile teadaolevalt lekkisid ärikliendi nimi ja isikukood, krediitkaardiandmed kättesaadavad ei olnud. See ei tähenda, et kättesaadavad olid 100 000 inimese andmed, vaid 100 000 tankimise omad. Seega me ei tea täpselt, kui mitme ärikliendi nimi, isikukood ja kaardilimiit internetis leitav oli,“ rääkis RIA peadirektori asetäitja küberturvalisuse alal Uku Särekanno Delfile. Olerex kontrollis üle oma teised keskkonnad, et välistada sarnase olukorra tekkimist ning viib läbi turvalisuse auditi.

Särekanno lisas, et Olerexi kinnitusel olid andmed avalikud viimase pooleteise kuu tehingute kohta ning 9. juulil turvanõrkus suleti. „Need andmed oli võimalik üles leida, kui neid teadlikult otsiti, igaüks nende otsa ei komistanud. Turvanõrkusi otsis tõenäoliselt robot, mis proovis eri andmebaasidesse sisse pääseda. Teame ka, et neid andmeid laeti reaalselt alla,“ sõnas Särekanno.

Seotud lood:

„Kõik inimesed ja ettevõtted peavad suhtuma andmekaitsesse täie tõsidusega. Inimesed peaksid hoolega jälgima, kuhu ja mis andmeid nad edastavad, sest peale edastamist nad enam oma andmeid ei kontrolli. Ettevõtetele on soovitus, et testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi. Kõik see on kordades odavam, kui hilisemate tagajärgedega tegelemine,“ lisas Särekanno.

RIA alustas juhtunu osas järelevalvemenetlust, et selgitada välja, kas Olerexi infosüsteemid on nõuetekohaselt kaitstud.

Tanklaketilt Olerex pole seni veel õnnestunud kommentaari saada.

Soovitused ettevõtele, kuidas andmeid kaitsta
• Testige regulaarselt enda veebikeskkondade ja teiste süsteemide turvalisust, tuvastage ja paigake regulaarselt tarkvara nõrkusi;
• Kasutage usaldusväärset e-poe platvormi, kus on tagatud regulaarne tarkvara uuendamine;
• Veenduge, et veebileht ja selle alamlehed kasutavad üksnes HTTPS ja HSTS protokolle. Kontrollige üle, et lehtedel ei oleks komponente, mis on ligipääsetavad HTTP protokolliga
• Veenduge, et paroole ei salvestataks kunagi ning paroolid oleks räsitud (parooli on võimalik kontrollida, aga mitte välja lugeda). Teised tundlikud andmed peaksid olema veebilehe süsteemis krüpteeritud. Kui klient on parooli unustanud, ei tohi veebilehe tarkvara saata talle parooli lahtise tekstina e-kirjas;
• Veebilehe turvalisuse ülevaateks soovitame kasutada ka avalikke tööriistu, seal hulgas Hardenize’i: https://www.hardenize.com. See tööriist näitab ja kirjeldab kõige elementaarsemaid asju ehk millised sammud on veebilehe turvalisuse jaoks astutud, millised mitte.