Suomen tunnistautuminen on rikki

leaking-sieve

Valtion konttori vastasi HS:n kysymyksiin ja he antavat vähätellen ymmärtää, että mitään ongelmaa ei ole, ja jos on, niin se on käyttäjissä.

“Mekin ensin luulimme, että tässä olisi jotain, mutta ei mitään tietoturvapoikkeamaa tai – ongelmaa löytynyt. Emme nyt oikein ymmärrä, miten tämä juuri nyt on pöllähtänyt esiin.”

Mellas muistuttaa, että Plommerin esiin nostama tietoturvavika voi tietysti sattua, jos tietokoneen käyttäjä ei sulje istuntoaan käytön jälkeen. Silloin joku voi päästä tietoja katsomaan.”

Voin siis nyt hyvin kertoa teille, että ihmisten HETUn ja nimi liikkuu tunnistauduttaessa osoiterivillä palveluiden välillä siirryttäessä. Voit kokeilla, löytyykö selaimen välimuistista näitä tietoja kirjoittamalla osoiteriville yksinkertaisesti “tunnistus.suomi.fi” ja poimit osoitteiden pudotusvalikosta sen kaikkein pisimmän URL:in ja kopioit sen johonkin tekstieditoriin. Tästä rimpsusta löytyy vierailuaikasi, HETUsi ja nimesi, ihan selkokielisenä. Tätä on helppo demonstroida vaikka kollegan koneella – omani oli järkyttynyt, eikä voinut uskoa miten helposti pääsin näihin tietoihin käsiksi.

Toisin kuin Valtorin nimeämä puhuva pää väittää, tiedot löytyvät myös selaimen historiasta. Voit kokeilla haeskella URLeja sieltäkin. Esimerkiksi sen kirjastokoneen selaushistoriasta voisi saada melkoisen saaliin.

Testasin tätä ihan itse tänään ja menin Tikkurilan kirjastoon, jossa asiat oli onneksi hoidettu niin hyvin, että Chrome aukeaa oletusarvoisesti incognito-moodissa. Se ei tallenna jälkiä selailusta selaimen tietoihin. Sieltä en siis saanut ainakaan pikaisella tarkastelulla mitään irti. Tästä kymmenen pistettä heille! Exploreria ei voinut käyttää incognitona, enkä näin jälkikäteen ajateltuna selannut sen historiatietoja. Sieltä olisi voinut ehkä jotain löytyäkin.

Tosiasia kuitenkin on, että lukuisten julkisten koneiden välimuisteja ja selaushistorioita voi selata hyvinkin pitkälle ja siten saada tämän arkaluontoisen yhdistelmän selville. Kukaan ei kiistä, etteikö näiden selville saaminen olisi ongelma, joten Valtorin pitäisi minusta nyt ihan kiltisti myöntää, että aivan liian suuri osa ihmisistä EI tyhjennä sekä selaimen välimuistia, että sen historiatietoja lopettaessaan. TUPAS on aikansa elänyt, jos se sallii näin helpot tietovuodot, että minäkin ne löydän.

Heidän pitäisi siis korjata tämä ammottava tietoturva-aukko niin, etteivät tiedot enää liiku osoiterivillä, ainakaan selkokielellä! Muun muassa tällaisten markkinatoimijoiden takia:

“asiakas saa valittavakseen maksaako hän laskulla, osamaksulla vai tilillä, riippuen mitkä palvelut on käytössä.. Asiakkaalta kysytään hetu/y-tunnus, ja luottotiedot tarkistetaan välittömästi.. Syötetyn hetun tai y-tunnuksen pitää olla saman henkilön, kuin mitkä tiedot annettiin tilauksen osoitetiedoissa.” (Klarnan varsin hasardi menettelytapa, mikä voisikaan mennä pieleen..?).

Yksi mielenkiintoinen seikka oli se, että tästä nimenomaisesta ongelmasta on kuulemma raportoitu aikaisemminkin, mutta silloinkin on viitattu kintaalla. Tällainen pään puskaan työntäminen ei enää kyberturvallisuuskeskukselta vetele – järjestelmä on korjattava hetimmiten!

Leave a Reply

Your email address will not be published. Required fields are marked *