Эксперты Департамента государственной инфосистемы (RIA) и Департамента полиции и погранохраны (PPA) прервали скачивание сотен тысяч фотографий из базы данных удостоверяющих личность документов — скачивание данных оказалось возможным из-за уязвимости в услуге предоставления фотографий, которой управляет RIA.
Преступник скачал почти 300 000 фотографий на документы жителей Эстонии (3)
SK ID Solutions проинформировал RIA о возросшем 16 июля числе запросов. 21 июля RIA с помощью дополнительного мониторинга выявил массовое скачивание данных из базы данных удостоверяющих личность документов (KMAIS) и прекратил работу услуги. На следующий день RIA зафиксировал потенциальный IP-адрес, с которого скачивали фотографии, и передал информацию полиции. RIA также начал внутриведомственную проверку, чтобы выявить причину, позволившую манипулировать механизмом контроля системы фотографий.
Подозреваемый скачал из базы данных фотографии 286 438 человек, воспользовавшись для этого фальшивыми цифровыми сертификатами.
Подозреваемый не получил доступа ко всей базе данных, но злоупотребил уязвимостью безопасности в сервисе, управляемом RIA, который позволял получить фотографию на документы человека с помощью запроса. Специалисты RIA заблокировали услугу передачи фотографий сразу же после обнаружения злоупотребления и устранили ошибку безопасности. 23 июля полиция задержала в Таллинне подозреваемого.