tiistai 10. maaliskuuta 2015

Tekesillä tietoturva-aukko palvelussa, aukon löytäjät poliisin pidättämiksi

Yritysrahoitusta tarjoavan Tekesin järjestelmästä löydettiin tietoturva-aukko jonka avulla pystyi selaamaan ja lataamaan eri tahojen jättämiä hankerahoitushakemuksia. Aukon löytäjät eivät saaneet kiitosta vaan joutuivat Poliisin pidättämiksi.

Hakemuksista selvisi hakijoiden tietoja kuten yrityksien nimiä sekä taloudellisia sekä muita strategisia tietoja, Tekes kuitenkin ilmoittaa ettei esimerkiksi mitään yrityssalaisuuksia ole hakemustietojen joukossa sillä hakemuksien liitetiedostoja ei voinut aukon kautta tarkastella.

Aukon kautta pystyi katsomaan noin 4 000 eri yrityksen hakemuksia.

Vain Suomessa:

Se kuinka aukko löydettiin onkin sitten hieman erikoinen tarina, Helsinkiläinen IT-alan yritys oli jättämässä omaa hakemustaan palveluun kun työntekijät huomasivat aukon, kolme työntekijää halusivat tarkistaa onko aukko todellakin palvelussa ja kun pääsivät sisään, he ilmoittivat siitä Tekesille itselleen.

Kiitosta ei annettu vaan työntekijöiden tiedot selvitettiin ja he joutuivat poliisin pidätettäväksi, poliisi päästi kaverukset myöhemmin menemään. Kolmatta työntekijää jota ei tavoitettu ajoissa on nyt etsintäkuulutettu mutta on kuitenkin ollut jo yhteydessä poliisiin asian tiimoilta.

Toistaiseksi jutussa ei ole nostettu syytteitä mutta poliisi tutkii asiaa törkeänä petoksena ja pitää rikosepäilyä hyvin vakavana.

Poliisi pitää hakkereiden tekotapaa erittäin törkeänä, vaikka siis hakkerit itse toivat asian yksinomaan Tekesin tietoon toivoen että Tekes korjaisi aukon.

Tekes todellakin korjasi ilmoitetun aukon ja lupaa ettei palvelusta löydy enää tietoturva-aukkoja. Palveluun voi nyt jättää hakemuksia turvallisin mielin.

Poliisi että Tekes ovat kummatkin olleet hyvin vaitonaisia jutusta mutta Poliisi on kertonut joka tapauksessa medialle että se vastaanotti tutkintapyynnön Tekesiltä viime viikon tiistaina.

Poliisi kertoo myös että yhden työntekijän tietokoneelta on löydetty Tekesin järjestelmästä ladattuja hakemuksia, joka siis ilmeisesti tuolloin täyttää rikoksen tunnusmerkit.

Tekes ei suostu kertomaan sitä kuinka kauan nyt löydetty aukko on sen järjestelmässä ollut.

LÄHDE: IL, YLE, Afterdawn, Tekes