Годовой рапорт RIA: из-за бреши в безопасности на портал eesti.ee можно было зайти под именем другого пользователя
Департамент государственной инфосистемы (RIA) пишет в своем годовом рапорте, что на портал eesti.ee через банковскую ссылку можно было зайти под именем другого пользователя. Возникшую еще, скорее всего, в 2015 году брешь в безопасности исправили лишь в июне прошлого года
Брешь заключалась в том, что при входе на eesti.ee через банковскую ссылку портал не проверял запрос об авторизации на тему того, был ли он подписан с помощью выданного банком ключа, и отвчал ли он техническому описанию банка.
То есть, на портал можно было зайти под именем другого человека, создав ложное подтверждение со стороны банка и отправив его eesti.ee на подтверждение входа. RIA отмечает, что проведение подобной атаки потребовало бы значительные технические знания.
RIA считает, что это была не сознательная брешь, а просто небрежность со стороны разработчика.
