huhti 25, 2019

Hakkerit testasivat MPASSid:n tietoturvaa – oletusasetuksia tiukennettiin

Opetus- ja kulttuuriministeriö ja CSC – Tieteen tietotekniikan keskus Oy testauttivat oppilaiden tunnistautumiseen tarkoitetun MPASSid-palvelun tietoturvaa haavoittuvuuksia paikallistavalla palkkio-ohjelmalla. Palvelusta saatiin seitsemän haavoittuvuusraporttia, ja niistä kahden perusteella tehtiin parannuksia palvelun tietoturvaan.

Perus- ja toisen asteen oppilaitoksissa käytettävän MPASSid-tunnistuspalvelun avulla oppilaat voivat käyttää samaa opetuksen järjestäjän antamaa tunnusta kirjautuakseen eri palveluntarjoajien digitaalisiin palveluihin.

Tietoturva on yksi tärkeimmistä MPASSid:n tavoitteista, ja palkkio-ohjelma haavoittuvuuksien löytämiseksi on osoittautunut tehokkaaksi keinoksi parantaa tietoturvaa. Palkkio-ohjelmassa hakkereille luvattiin suurimmillaan 10 000 euron palkkio, jos he löytäisivät erittäin vakavan tietoturvapuutteen, esimerkiksi keinon, jolla voisivat esiintyä toisena käyttäjänä. Hakkereille annettiin käyttäjätunnukset ja laajat oikeudet kuvitteellisen Hakkerilan koulun sähköisiin oppimisen palveluihin, ja heidän tehtävänään oli etsiä tietoturvapuutteita ja haavoittuvuuksia. Testaajilta saatiin seitsemän raporttia, jotka yhtä lukuun ottamatta kohdistuivat MPASSid:n asiakkaiden järjestelmiä simuloiviin järjestelmiin. Vakavimmasta löydöksestä maksettiin 300 euron palkkio, löydöksen perusteella palvelun oletusasetuksia muutettiin niin, ettei uudelleenohjausta mielivaltaiselle sivulle sallita.  Tällaisella sivulla pahantahtoinen hakkeri olisi voinut yrittää huijata käyttäjää paljastamaan salasanansa.

Testauksen toteutti haavoittuvuuspalkinto- eli bug bounty-ohjelmiin erikoistunut Hackr.fi. Puoli vuotta kestänyt murtotestaus käynnistyi syyskuussa. Testiä varten CSC rakensi tuotantoa vastaavan ympäristön, joka oli teknisesti erillään MPASSid:n tuotantopalveluista ja muista CSC:n palveluista ja verkoista. Tällä varmistettiin, että murtotestaus ei vaaranna tuotantopalveluita.

Lisätietoja:
Manne Miettinen
Projektipäällikkö
CSC – Tieteen tietotekniikan keskus

Tero Huttunen
MPASSid-palvelun omistaja
opetus- ja kulttuuriministeriö

Ei kommentteja

Kommentoi:

Opetus- ja kulttuuriministeriö
CSC
Palvelun omistaa opetus- ja kulttuuriministeriö.
Palvelun operaattorina toimii CSC - Tieteen tietotekniikan keskus Oy.