Eesti veebipoe andmeleke: kes on isikuandmete lekkimises süüdi, illustreeriv foto

Eesti veebipoe andmeleke: kes on isikuandmete lekkimises süüdi

58
(Uuendatud 17:45 05.07.2019)
Ligi 14 000 Eesti elaniku isikuandmed osutusid tekstifailidena Google'i otsingusüsteemis vabalt ja hõlpsasti kättesaadavaiks. Sputnik Eesti uuris välja, mis võis olla selle põhjuseks ja milline karistus selle eest ähvardab.

TALLINN, 5. juuli — Sputnik, Ilona Ustinova. Tehnoloogiuudiste portaal Geenius teatas, et sedapuhku osutusid avalikult kättesaadavaiks bürootarvete veebipoe Charlot klientide isikuandmed.

Teadaandes on öeldud, et andmed olid avaldatud tavaliste tekstidokumentidena, mida oli guugeldades lihtne üles leida. Neis failides olid kirjas klientide nimed, telefoninumbrid, e-posti aadressid, veebipoes kasutatavad paroolid ning mõnedel juhtudel ka kasutaja isikukood.

Lekke avastamise järel said need failid üsna varsti internetist kõrvaldatud.

Riigi infosüsteemi ameti (RIA) intsidentide käsitlemise osakonna (CERT-EE) juht Tõnu Tammer nentis, et see oli Eestis seni suurim veebipoe andmeleke.

Firma hoolitseb klientide eest

Sputnik Eesti pöördus SEO-spetsialisti, ettevõtte IT-Best juhataja Fjodor Kortšagini poole selgitamaks, kuivõrd usaldusväärne on kaupluse Charlot turvasüsteem ja mispärast sai säärane intsident aset leida.

Ta monitooris bürootarvete kaupluse veebilehte ja märkis, et selle omanikud ei suhtu oma klientidesse sugugi ükskõikselt, ehkki näha on vajakajäämisi tarkvaras endas.

Esiteks, registreerimiseks ei piisa kahest klõpsust, vaid tuleb teha terve rida teatud toiminguid. Teiseks, turvalisuse tõstmiseks seisab neil aadressirea algul protokollilaiend "https".

СЕО-специалист, руководитель компании IT-Best Фёдор Корчагин
© Фото : из личного архива Фёдора Корчагина
SEO-spetsialist, ettevõtte IT-Best juhataja Fjodor Kortšagin

"Pealegi kasutavad nad veebimajutust serveris zone.ee, mis on end õigustanud ja mitte just odav majutus. Seega – kaupluse omanikud küllaltki korralike kaitsemehhanismide arvelt ei koonerda," märkis Kortšagin.

Ent mis see siis oli, kas häkkerirünnak või inimlik eksitus? Asjatundja arvab, et vaevalt küll võis ühtekokku 14 000 inimese isikuandmete leke, liiatigi tekstifaili kujul osutuda häkkerirünnakuks.

"Häkkerid sedaviisi andmeid ei lekita. Nemad tõstavad info tavaliselt darknetti ("varjatud võrk – toim.). Nii et pigemini leidis aset just firmasisene leke. Ning siin võib olla mitmeid põhjusi alates vallandamisest tingitud solvumisest kuni väljapressimiseni tasumata teenuse eest või siis lihtsalt soov mainet rikkuda," selgitas Kortšagin.

Häkkerirünnakud põhinevad rahateemisel või teenuseosutuse halvamisel, et nõuda suurt summat veebilehe taastamise eest. Kõnealusel puhul ei näe ma tegeliku rahalise kasu saamise tunnuseid," lisas spetsialist.

Ideaalset kaitset pole olemas

Kortšagini sõnul peab ettevõtte omanik oma kliente andmelekkest otsekohe teavitama, et nad saaksid asjakohased abinõud tarvitusele võtta, ning seejärel turvaprotokollid oma veebilehel ümber tegema ning uued arendajad leidma.

"Poleks liiast läbi teha ka töötajate, sealhulgas vallandatute kontroll, ja rakendada distsiplinaarmeetmeid või kahtlusalused kohtusse kaevata," märkis ekspert.
Ideaalseid veebikauplusi tema hinnangul ei leidu, kuid ostlemiseks kõige ohutumaiks nimetas ta eBay'd ja Amazoni. Mitmesuguseid kaupu pakkuvaid Eesti firmasid ta ei usaldaks kasvõi sellepärast, et enamik neist üritab maksimaalsel määral raha säästa, värvates programmeerijaid outsource*-saitidelt ja valides oma veebiteenustele mitte just kõige usaldusväärsemaid majutusi.

Tekitatud kahju tuleb tõestada

Jurist Georgi Džaniašvili ütles Sputnik Eestile, et vastavalt andmekaitse direktiivile ootab selle veebilehe omanikku, mille kaudu kasutajate isikuandmed on lekkinud, rahatrahv. Kriminaalvastutust pole sellisel puhul ette nähtud.

Kui firma klient leiab, et tema õigusi on rikutud ja ta on isikuandmete lekke tõttu kahju kannatanud, tuleb tal pöörduda esmajoones andmekaitseinspektsiooni. Seal aidatakse tal olukorras selgust saada ja vajadusel soovitatakse pädev spetsialist kohtudokumentide ettevalmistamiseks.

"Seda, et inimene on andmelekke tõttu kahju kannatanud, on väga keeruline tõestada. Kui ta suudab tõestada, et tema teadmata on toimunud tehing, et tema andmed on just sellest konkreetsest firmast jalutama läinud ja et ta on selle tehingu tõttu reaalset kahju kandnud, siis võib ta nõuda temalt väljapetetud summa ulatuses talle tekitatud kahju hüvitamist," selgitab jurist.

Юрист Георгий Джаниашвили
© Фото : из личного архива Георгия Джаниашвили
Jurist Georgi Džaniašvili

Mis aga puudutab moraalse kahju korvamist, siis Eestis on niisugune tava Džaniašvili sõnul väga nõrgal järjel. Kõige sagedamini vähendab kohus nõutava summa mitmekordselt tagasihoidlikumaks.

Igas, iseäranis suures ettevõttes peab olema andmetöötluse spetsialist, kes vastutab isikuandmete kaitstuse eest. "Kui tekib oht, et andmed võivad kuhugi vasakule minna, peab ta teavitama firma juhtkonda ja vajaduse korral ka andmekaitseinspektsiooni," lausus Džaniašvili.

Nagu Sputnik Eesti on kirjutanud, juhtub Eestis aeg-ajalt isikuandmete lekkimisi erinevates valdkondades alates sotsiaalvõrgustikest ja koolisüsteemist kuni taksofirmade ja sotsiaalkindlustusameti andmebaasideni.

*Outsourcing tähendab, et organisatsioon delegeerib ettevõtte teatud liiki tootmistegevuse või toimingud lepingu alusel teisele ettevõttele.

58
Tagid:
ühiskond, e-pood, andmeleke
Samal teemal
Igal veebipoodnikul tasub mängureeglid endale selgeks teha
Tarbijakaitseamet lasi sulgeda crazydeal.ee veebilehe