Korobeiniku flirdiportaali rate.ee kasutajate eravestlused võisid lekkida
25. veebruar 2019, 12:09
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Poliitikust veebiärimehele Andrei Korobeinikule kuuluv ja hiilgeajad ammu minetanud kodumaine kohtinguportaal rate.ee kasutab hirmvana tehnilist platvormi, mis ei vasta kuidagi kaasaegsetele kasutajaandmete hoidmise turvanõuetele.
«Rate.ee keskkond on kasutanud sama IT-platvormi peaaegu 17 aastat,» tunnistas portaali haldava OÜ Flirtic omanik Andrei Korbeinik Postimehele.
Suure tõenäosusega on just see asjaolu põhjuseks asjaolule, et kasutajate paroolid istuvad sotsiaalmeedias levivate väidete põhjal portaali taustal töötavates andmebaasides krüpteerimata kujul, kasutajatele saadetakse meilile paroole tekstina ning viimastel andmetel on olnud kasutajatel ligipääs ka teiste inimeste privaatsetele vestlustele.
Critical flaw in https://t.co/cU2qCLk35a making all private messages enumerable to every authenticated user.
— Estonian IT Sadness (@SadEstonianIT) February 21, 2019
Example: https://t.co/1n933J8BFg#sad, #it_sadness, #infosec, #leak, #estonia, #jesus_fuck_who_wrote_this_sadness pic.twitter.com/ACEAqzDn1h
Kuid olukord on sõna otseses mõttes homme muutumas. «26. veebruari õhtuks kolib Rate.ee uuele platvormile, mis erineb vanast oluliselt. Uus Rate.ee kasutab https-ühendust ja on mugavalt kättesaadav nii arvutis kui mobiilis,» rääkis Korobeinik.
«Rate.ee avaneb uues kujunduses juba täna, kuid päris valmis saab ta alles homme,» märkis Korobeinik.
Kriitika Twitteris on olnud aga vägagi teravatooniline:
https://t.co/cC8pEzwQKk stores passwords plain text in their database, #it_sadness. Given the #sad tendency of password reuse it's a horrible threat to its million users #infosec. https://t.co/kBQQnx3igB pic.twitter.com/xH1r0lzixj
— Estonian IT Sadness (@SadEstonianIT) February 21, 2019
Ta kinnitas, et kolimine on jõudmas lõpusirgele ja juba eelmisel reedel ei olnud Rate.ee andmebaasis ühtegi krüpteerimata parooli.
«Vahepeal on mõnedel kasutajatel tekkinud probleem sisselogimisega, see on nüüdseks parandatud. Vabandan ebamugavuste eest. Valed juurdepääsu õigused sõnumitele võisid olla seotud serverite vahetusega, kuid kindlasti ei olnud võimalik kätte saada konkreetsete kasutajate kirjavahetuse. Seda probleemi ei suutnud me testimise käigus korrata,» lisas Korobeinik.
Korobeiniku loodud rate.ee on varem kuulunud ka telekomiettevõttele Telia, kes selle hiljem ärimehele tagasi müüs. Portaali langus sai alguse ajal, kui Facebook asus pead tõstma.