- Sīkdatnes, kas nodrošina Jūsu pieprasīto pakalpojumu darbību.
- Sīkdatnes, kas NIC sniedz informāciju par interneta vietnes www.nic.lv apmeklējumu un kuru izmantošanai ir nepieciešama Jūsu piekrišana.
Saskaņā ar iekšējo drošības noteikumu prasībām, NIC informē savus lietotājus un partnerus par gadījumiem, kad ir noticis incidents vai ir aizdomas par incidentu saistībā ar klientu personas datiem vai citiem būtiskiem ar informācijas sistēmas drošību saistītiem notikumiem.
Kāds Klientu tiešsaistes sistēmas lietotājs pamanīja, ka sistēmai ir iespējams pieslēgties ar vienu noteiktu autentificētu lietotāju bez papildu datu ievades, tikai nospiežot pieslēgšanās pogu. Tas deva iespēju pieslēgties vienam juridiskas personas kontam un apskatīt un mainīt šīs juridiskās personas datus. Incidenta brīdī juridiskā persona komercreģistrā bija likvidēta.
2015.gada 31. jūlijā DNS sistēmas administrators, veicot līdzīgo personu apstrādi sistēmā, apvienoja divas, viņaprāt, vienādas personas. Tomēr pēc apvienošanas administrators konstatēja, ka šīm personām sakrīt tikai juridiskās personas nosaukums, bet reģistrācijas kodi atšķiras. Juridisko personu nosaukumi sakrita, jo viena no personām jau bija dzēsta no Komercreģistra. DNS administrators pieņēma lēmumu labot kļūdu un veikt kontaktu apvienošanas transakcijas atsaukšanu, kuras rezultātā likvidētās juridiskās personas tiešsaistes lietotāja vārds un parole, kas tika dzēsta apvienojot, tika saglabāta datu bāzē kā tukša ierakstu virkne.
Klientu autentifikācijas datus NIC sistēmā glabā kā jaucējfunkcijas (hash function) rezultātu no lietotāja paroles un lietotājam unikālas “sāls” (salt). Lietotājam pieslēdzoties sistēmai, tiek pārrēķināta jaucējsumma, kas tiek salīdzināta ar to, kas ir saglabāta sistēmas datu bāzē. Autentifikācija ir veiksmīga, ja funkcijas rezultāts sakrīt ar datu bāzes ierakstu.
Analizējot sistēmas pirmkodu, tika identificēta novecojusi programmatūras pirmkoda daļa, kas izņēmuma gadījumā, ja “sāls” nav definēta, izmanto citu autentifikācijas mehānismu. Šis apstāklis kopā ar iepriekš minēto situāciju radīja iespēju autentificēt lietotāju ar “tukšu” lietotāja vārdu un “tukšu” paroli.
Incidenta rezultātā lietotājiem, kas pieslēdzās sistēmai, neievadot autentifikācijas datus, bija pieejami vienas likvidētas juridiskās personas adreses un kontaktu dati.
Citu klientu datu noplūde nav notikusi un sistēmas integritāte nav ietekmēta.
Tā kā lietotāju reģistrācijas formā minimālais lietotāja vārda garums ir 6 simboli, šāda pārbaude papildus ieviesta arī autentifikācijas formā.
Likvidēta novecojusī programmatūras pirmkoda daļa, kas, ja nav definēts sāls, izņēmuma gadījumā pieļāva autentifikāciju bez jaucējsummas aprēķināšanas, tādējādi alternatīvas autentifikācijas metodes vairs nepastāv.
Pateicamies mūsu klientam, kas pamanīja incidentu un informēja mūs!