Espoon turva-aukko aiheutui vanhentuneesta päivityksestä
1
Liikuntatilojen varauksia ei voi tehdä sähköisesti Espoon kaupungin nettisivuilla näillä näkymin muutamaan päivään web-palvelimen tietomurron takia. Asiasta tehdään rikosilmoitus poliisille.
Järjestelmäpäällikkö Ahti Parviainen Espoon kaupungin sivistystoimesta kertoo Tietokoneelle, että murto onnistui, koska sovellustoimittaja oli inhimillisen erehdyksen takia asentanut päivityksessä vanhentuneen version java-sovelluspalvelimesta.
Parviainen sanoo, että haavoittuvuuteen liittyvästä avoimen lähdekoodin Apache Tomcat -palvelimen komponentista näillä näkymin luovutaan.
Kyse on dmz-verkkoalueella olevasta web-käyttöliittymästä, jossa haavoittuvuuden lisäksi käyttöoikeudet eli salasana oli vielä jätetty liian helposti ennalta arvattavaksi.
Parviaisen mukaan luottamuksellisia tietoja ei joutunut rikollisen käsiin, koska palvelimella ei säilytetä arkaluontoisia tietoja. Murto havaittiin maanantaina iltapäivällä, minkä jälkeen tilavaraus suljettiin.
Poliisille tutkintapyyntö
Tietomurto ei tämän hetken tietojen mukaan koskenut muita Espoon palvelimia, eikä vaaraa pitäisi muualla ole. Parviainen kertoo, että Espoon perustietotekniikan toimittajaa ja sovellustoimittajaa vaaditaan vielä selvittämään tarkkaan tietomurron onnistumiseen johtaneet tekijät.
Espoon kaupunki tekee tietomurrosta rikosilmoituksen poliisille, ja ilmoitus lähtee myös Viestintävirastoon haavoittuvuuksien koordinointiin.
Murron motiivista ei ole tietoa. Kyseessä saattaa olla vaikkapa verkossa leviävä automaattinen haittaohjelma tai jonkun kokeilunhalu.
Espoon liikuntatilojen varauksissa ollaan paperin ja kynän varassa näillä näkymin pari päivää. Liikuntatilojen yhteystiedot ja varausohjeet ovat netissä.
