Manu Pitkänen
10. maaliskuuta, 2015 11:19
Iltalehden mukaan kolme helsinkiläisen it-yhtiön työntekijää ovat löytäneet innovaatiorahoituskeskus Tekesin järjestelmistä tietoturva-aukon, jonka avulla he pystyivät lataamaan tuhansien yritysten lähettämiä rahoitushakemuksia.
Tukihakemuksista ilmenee yleensä rahoitettavan projektin kuvaus ja muita hanketietoja. Tietoturva-aukon kautta ei kuitenkaan pystytty lataamaan hakemusten liitetiedostoja, joista ilmenisi hankkeiden yksityiskohtaisempia tietoja.
Poliisi pidätti järjestelmään viikko sitten tapahtuneen tietomurron johdosta kaksi epäiltyä, jotka ovat molemmat kuitenkin jo vapautettu. Etsintäkuulutettuna oleva kolmas epäilty on Ylen mukaan ollut jo yhteydessä poliisiin. Epäilyt havaitsivat hakemuspalvelun "printtauskomentoon" liittyvän tietoturva-aukon lähettäessään omaa hakemusta Tekesille. Aukon havaitsemisen jälkeen he kokeilivat sen toimivuutta.
Viestintävirasto muistutti tänään julkaistussa ilmoituksessa, että tietoturva-aukkojen etsiminen ei ole laitonta, mutta niistä tulee ilmoittaa asianmukaisella tavalla, eikä löydettyjä haavoittuvuuksia saa hyödyntää.