Tietoturvahaavoittuvuus sähköisen asioinnin hakemusarkistossa
21.05.2020
Pro kassan käyttämässä sähköisen asioinnin järjestelmän yhdessä osiossa on havaittu tietoturvahaavoittuvuus
Työttömyyskassa Pro sai tiedon tiistaina 19. toukokuuta iltapäivällä, että Pron käyttämässä Digian sähköisen asioinnin (Netta-)järjestelmässä on havaittu tietoturvahaavoittuvuus sähköisten hakemusten arkisto-osiossa.
Kirjautunut jäsen on saattanut päästä katsomaan muiden jäsenten hakemuksia tai liitteitä, mikäli jäsen on manuaalisesti päivittänyt sivun URL-osoitetta tietyllä tavalla. Jäsen on tällöin käyttänyt järjestelmää tavalla, jolla sitä ei ole suunniteltu käytettävän.
Satunnaisen toisen jäsenen hakemus- ja liitetiedot sekä henkilötiedot ja niihin mahdollisesti liittyvä erityinen henkilötieto on ollut mahdollista näin saada näkyville. Tämän haavoittuvuuden kautta ei ole ollut mahdollista päästä näkemään toisen jäsenen muita tietoja eikä ole ollut mahdollista päivittää mitään toisen jäsenen tietoja. Haavoittuvuus on koskenut siis vain sähköisten hakemusten arkistoa liitteineen. Kenenkään jäsenen henkilötunnuksella ei ole päästy katsomaan toisen henkilön hakemuksia eikä liitteitä.
Kaikkien ko. järjestelmää käyttävien työttömyyskassojen hakemusarkisto on välittömästi suljettu toimittajan toimesta, kunnes haavoittuvuus saadaan korjattua. Sähköisesti lähetetyt Hakemukset ja liitteet -osiossa näytetään nyt ainoastaan: "Ei näytettäviä hakemuksia".
Järjestelmää käyttäville kassoille on luvattu järjestelmän toimittajalta tarkat lokitiedot, joista voidaan tarkastella, keihin tämä haavoittuvuus on voinut kohdistua. Otamme tiedot saatuamme välittömästi yhteyttä jäseniin, joita tämä on mahdollisesti koskenut.
Varsinainen korjaus, joka mahdollistaa arkiston käyttöönoton uudelleen, toimitetaan seuraavan sovellusversion toimituksen yhteydessä 26.-27.5.2020. Siihen asti arkisto on suljettu.
Muilta osin sähköinen asiointi on normaalisti käytössä eikä tietoturvahaavoittuvuuksia ole todettu muissa osioissa.