Suomi.fi-tunnistuksessa korjattu tietoturva-aukko

15.3.2017 17.00
Tiedote

Suomi.fi-tunnistuksessa havaittiin myöhään tiistai-iltapäivällä 14.3.2017 vakava tietoturvahaavoittuvuus, jonka Väestörekisterikeskus on korjannut havaitsemisen jälkeen. Haavoittuvuuden löysi Väestörekisterikeskuksessa palvelun oma kehitystiimi.

Haavoittuvuus koski tilanteita, joissa asiointipalvelun käyttäjä on kirjautunut palveluun pankkitunnuksillaan. Haavoittuvuuden kautta hyökkääjä olisi pystynyt kirjautumaan ja asioimaan asiointipalvelussa toisen henkilön nimissä. Tilanne olisi ollut mahdollinen silloin, jos käyttäjän selainliikenne olisi ollut kaapattu tai jos pankin järjestelmä on tallentanut tunnistustapahtumaan liittyviä tietoja selaushistoriaan. Tällöin mahdollinen hyökkääjä olisi voinut saada tarvittavat tiedot tietokoneen selaushistoriasta, jos käyttäjä olisi jättänyt yhteisessä käytössä olleen tietokoneen selaushistorian tyhjentämättä asiointinsa jälkeen.

Suomi.fi-tunnistuksen käyttö on turvallista kaikille kansalaisille ja julkisen hallinnon organisaatioille. Tiedossa ei ole, että haavoittuvuutta olisi hyödynnetty ja kenenkään toisen henkilön nimissä olisi asioitu.

”Suomi.fi-tunnistusta voi käyttää ja organisaatiot voivat ottaa sen käyttöön omissa asiointipalveluissaan. Väestörekisterikeskus valvoo palvelujensa laatua ja tietoturvaa jatkuvasti. Ryhdyimme välittömästi korjaamaan havaitsemaamme tietoturvahaavoittuvuutta. Tiedossamme ei ole, että kenenkään henkilön pankkitunnuksia olisi käytetty väärin ja kenenkään nimissä olisi asioitu tätä tietoturva-aukkoa hyödyntäen. Mahdolliset selaushistoriasta löytyvät tiedot eivät ole enää korjausten jälkeen mahdollisen hyökkääjän hyödynnettävissä”, kertoo johtaja Janne Viskari Väestörekisterikeskuksesta.

Suomi.fi-tunnistus on julkisen hallinnon yhteinen tunnistuspalvelu. Tunnistautuminen tapahtuu pankkitunnuksilla, sähköisellä henkilökortilla tai mobiilivarmenteella. Suomi.fi-tunnistus korvaa aikaisemmin käytössä olleet Vetuma- ja tunnistus.fi-tunnistuspalvelut vuoden 2017 loppuun mennessä. Uuden palvelun käyttäjämäärät ovat kasvaneet merkittäviksi vasta viimeisen kolmen kuukauden aikana. Tätä ennen palvelun käyttö on ollut hyvin vähäistä.

Lisätietoja

Väestörekisterikeskus, johtaja Janne Viskari, p. 0295 535 022, etunimi.sukunimi(at)vrk.fi