SEB internetipangas avastati selle aasta alguses tõsine turvaauk, mille kaudu piisas vähemalt kolme päeva vältel sisenemiseks vaid ohvri kasutajanime teadmisest.
SEB internetipangas oli tõsine turvaauk - sisenemiseks piisas vaid kasutajanimest
Eestis õppiv Läti arvutiteadur Arnis Paršovs tegi turvaaugu illustreerimiseks ka alloleva video, milles siseneb internetipanka ohvri kasutajanime ja ID-kaardi sertifikaati kasutades. Neist viimased on kõigi Eesti elanike kohta avalikult kättesaadavad.
Viga oli põhjustatud serveri suutmatusest kontrollida X.509 sertifikaadi allkirja, mis saadakse ID-kaardiga autentimise protsessis. Ohvri originaalsertifikaadi ja selle avaliku võtme sai sel viisil asendada värskelt loodud võltsitud võtmepaariga ning sisestada selle veebiaknasse.
Paršovs sai vaadata ohvri tehingute ajalugu ning teha oste keskkondades, mis tuginevad teiste seas SEB pangakontoga identifitseerimisel. Ostud said võimalikuks, kuna SEB ei nõua pangalingiga tehingute tegemisel kasutajate uuesti identifitseerimist, kirjutab ta oma ajaveebis.
Allolevas videos on näha, kuidas Paršons kannab sel viisil raha üle pilet.ee keskkonnas, vaatab ohvri andmeid eesti.ee keskkonnas ja siseneb Tele2 iseteenindusse.
Eestis turvaintsidentidega tegelev CERT sai juhtumist teada 11. mail kell 13 ning SEB parandas vea 14. mail kella 12-ks. Allolev video on tehtud 11. mai ennelõunal.
SEB: turvaauku ei kasutatud ära
SEB teatas juhtumit kommenteerides Postimehele, et «viidatud turvaküsimus eksisteeris n-ö laboratooriumi tingimustes ehk selleks oli vaja mitmete tingimuste kokkulangemist ja erialaseid teadmisi».
«Turvaküsimus sai lahendatud ja samuti kontrollitud, et seda viga ei olnud keegi pahatahtlikult ära kasutanud,» ütles SEB pressiesindaja ja lisas, et probleem lahendati vähem kui tunni jooksul hetkest, mil selle kohta oli saadud piisavalt infot.