За минувшие сутки многие жители Эстонии получили сообщение из Департамента полиции и погранохраны страны, в котором говорилось, что "21.07.2021 эксперты Департамента государственной инфосистемы (RIA) выявили незаконное скачивание фотографий на документы из базы данных удостоверяющих личность документов. Были загружены фотографии документов 286 438 человек".
В то же время ведомство заверило: "В результате киберинцидента не был получен доступ к базе данных удостоверяющих личность документов, однако, использовав слабое место в приложении, которым управляет RIA, и умело подделывая запросы, преступник сумел получить только фотографии на документы".
Как сообщили эстонские СМИ, доступ к документам был перекрыт вечером того же дня, когда была обнаружена кибератака, а уже в пятницу, 23 июля, хакер был задержан полицией в качестве подозреваемого. Для своей операции хакер использовал ботнет (сеть компьютеров-зомби) и поддельные дигитальные сертификаты.
Глава RIA Маргус Ноормаа рассказал, что фотографии массово скачивались с 9000 различных IP-адресов, обнаруженных как в Эстонии, так и за ее пределами, и что "к настоящему моменту совершившее нападение лицо задержано полицией, а полученные им данные конфискованы".
По утверждению главы бюро киберпреступлений Центральной криминальной полиции Оскара Гросса, нападение совершил мужчина, живущий в Таллине.
"Фотографии скачивались по случайной выборке. В этом не было никакой иной цели, кроме получения фотографий", – сказал Гросс.
Детали преступления
Сообщается также, что нападению подвергся используемый RIA сервис базы данных, через который фотографии документов делаются доступными собственникам документов. Чтобы получить доступ к документам, хакер сначала узнавал личные коды и имена людей из публичной сети – он делал индивидуальные запросы.
"Такие запросы идут через открытую сеть, что и позволило совершить нападение", – пояснил Маргус Ноормаа. По его словам, хакер получил доступ только к услуге показа фотографий, а никаких иных данных он получить не смог.
"Были получены фото, личный код и имя человека. Два из этих трех компонентов были известны хакеру еще до нападения", – уточнил Ноормаа.
В письме Департамента полиции и погранохраны в связи с этим говорится: "В то же время уверяем Вас, что:
– на основании фотографии, имени и личного кода невозможно подделать электронно-цифровую идентичность человека;
– на основании этих данных невозможно войти ни в одну электронную услугу государства, совершать нотариальные или иные денежные сделки;
– кража этих данных никоим образом не влияет ни на один используемый физически или дигитально документ, т.е. ID-карту, карту вида на жительство, mobiil-ID или Smart-ID;
– все электронные услуги Эстонии работают безопасно, ни одному человеку, чьи фото были скачаны, не надо ходатайствовать о выдаче нового документа".
Информация о случившемся инциденте поступила в полицию в четверг на прошлой неделе, после чего уже на следующий день был установлен подозреваемый, проведены следственные действия и обыск. Сообщается, что, по имеющейся у полиции информации, все полученные преступником данные возвращены государству.
Министр предпринимательства и инфотехнологий Андрес Сутт назвал случившееся очевидной атакой против эстонского государства и отметил рост киберпреступности. "Это означает, что мы должны постоянно инвестировать в кибербезопасность как на уровне государства, так и на уровне частного сектора", – сказал Сутт и пообещал поднять тему кибербезопасности на заседании правительства в ближайший четверг, запросив из правительственного резерва средства на срочное обновление инфосистем.
Министр пообещал "ускорить замену унаследованного программного обеспечения, старых инфосистем и решений". Также Сутт пообещал "приступить к консолидации базовой ИТ-инфраструктуры и техподдержки, что, в свою очередь, повысит кибербезопасность".