Власти Эстонии сообщили, что 23 июля 2021 года они арестовали местного жителя, который использовал уязвимость для получения доступа к государственной базе данных. Подозреваемый загрузил из БД фотографии 286 438 человек, и атаку удалось обнаружить из-за резко возросшего количества запросов.
Сообщается, что атака произошла в начале июля, и пока имя подозреваемого не раскрывается, известно лишь, что это житель Таллинна. Официальные лица заявляют, что подозреваемый обнаружил некую уязвимость в базе данных Департамента государственной инфосистемы (RIA). Вышеупомянутая БД обычно проверяется с пятью различными подсистемами, прежде чем вернуть запрос на отображение фотографии из удостоверения личности.
«Злоумышленник должен был заранее знать имя и личный код человека, с помощью которых можно создать у системы впечатление, что человек сам желает загрузить свою фотографию», – пишут в RIA. Упомянутую информацию можно найти в различных общедоступных базах.
В ходе обысков следователи обнаружили в доме подозреваемого скачанные из базы данных фотографии, а также имена и личные коды людей. При этом следователи считают, что подозреваемый не использовал эти данные злонамеренно и не передавал третьим лицам.
Власти подчеркивают, что утечка не представляет большой опасности, так как «невозможно получить доступ к электронным услугам, поставить цифровую подпись или выполнить финансовые операции (включая банковские переводы, операции купли-продажи, нотариальные операции и так далее) с помощью фотографии, личного идентификационного кода и имени».
«Людям, чьи фотографии были украдены, не нужно подавать заявление на получение нового физического или цифрового документа (паспорт, ID-карта, карта вида на жительство, Mobile-ID или Smart-ID и так далее.) или делать новую фотографию на документ. Все документы, удостоверяющие личность и фотографии продолжают действовать», — гласит заявление RIA.
Тем не менее, в ближайшее время о случившемся пострадавших уведомят представители Департамента полиции и погранохраны Эстонии.