SAKSALAINEN tietoturva-asiantuntijaksi itseään kutsuva ja eettisenä hakkerina tunnettu Lilith Wittmann, 31, kertoo paljastaneensa vakavan ongelman Maltan yritysrekisterissä.
Wittmann sanoo, että onnistui lataamaan jopa 1,3 miljoonaa PDF-dokumenttia Maltan viranomaisrekisteristä hyödyntämällä avointa ohjelmointirajapintaa.
Hän kommentoi tapausta maanantaina todeten, että Malta Business Registry (MBR) on ollut torstaista lähtien poissa käytöstä. Hän korosti kuitenkin, ettei tällä kertaa ollut hakkeroinut järjestelmää perinteisessä mielessä.
– Te myitte minulle 1,3 miljoonaa PDF:ää yhden sentin hinnalla rajapintanne kautta, Wittmann kirjoitti somejulkaisussaan.
Kyseessä ei siis ollut tietomurto, vaan Wittmannin mukaan rekisterin oma API-rajapinta mahdollisti massiivisen dokumenttien lataamisen poikkeuksellisen halvalla.
Lue myös: Vedonlyöntiyhtiölle 225 000 euron sakot Maltalla
VAIKKA Wittmann ei ole kertonut teknisiä yksityiskohtia tarkasti, on hän todennäköisesti havainnut järjestelmän hinnoittelu- tai käyttölogiikassa virheen.
Sivusto tarjoaa maksullisen pääsyn yritysasiakirjoihin, kuten yhtiöiden rekisteriotteisiin ja omistajatietoihin. Tämän vuoksi suuri määrä dokumentteja oli hänen ladattavissaan lähes ilmaiseksi.
Toistaiseksi ei ole julkista vahvistusta siitä, että MBR olisi pois käytöstä, sillä sivusto näyttää toimivan normaalisti.
MBR ei ole julkaissut virallista tiedotetta mahdollisesta käyttökatkosta tai tietoturvaongelmasta.
Maltalla toimii lukuisia rahapelialan yrityksiä. Toisin kuin Viro tai Iso-Britannia, saarivaltio ei ole tunnettu omistus- ja taloustietojen läpinäkyvyydestään.
WITTMANN kertoo tehneensä koko rekisteristä varmuuskopion, sillä hänestä Maltan yritysrekisterillä on ollut aiemminkin ongelmia dokumenttien katoamisen kanssa.
Hän totesi, että koko yritysrekisterin lataaminen mahdollisti samalla tehokkaan hakujärjestelmän rakentamisen.
Wittmannin mielestä tämä auttaa tunnistamaan epäilyttäviä yritysverkostoja aiempaa nopeammin.
– Täysimittainen hakutoiminto yritysrekisteriin auttaa tunnistamaan järjestäytyneeseen rikollisuuteen liittyviä yrityksiä paljon nopeammin kuin ennen, hän kommentoi.
API-tietoturvaa käsittelevät lähteet kertovat, että rajapinnat ovat erityisen alttiita ongelmille, joissa käyttäjä voi automatisoidusti hakea dataa paljon enemmän kuin järjestelmän on tarkoitus sallia.
Lue myös: Hakkeri iski Maltan viranomaiseen ja väittää paljastavansa rikollisuutta
EUROOPASSA Wittmann tunnetaan korkean profiilin tietoturvapaljastuksista. Hän on raportoinut haavoittuvuuksista muun muassa saksalaisissa viranomaisjärjestelmissä ja suurten yritysten palveluissa.
Wittmann etsii tietoturva-aukkoja ja tuo ne julkisuuteen painostaakseen organisaatioita korjaamaan ongelmat.
AIEMMIN hän on väittänyt iskeneensä myös Maltan rahapeliviranomaisen MGA:n järjestelmiin ja aikovansa paljastaa yhteyksiä järjestäytyneeseen rikollisuuteen.
Hänen mukaansa osa Maltan rahapelijärjestelmästä toimii tavalla, joka sekin mahdollistaa rikollisten toiminnan.
TAPAUKSELLA on siis erityinen painoarvo, sillä Malta on yksi Euroopan tärkeimmistä nettirahapeliyhtiöiden toimintakeskuksista.
Maltaa on jo pitkään kritisoitu liian löyhästä suhtautumisesta kansainväliseen rahapelibisnekseen ja rahanpesuriskeihin.
Eurooppalaiset viranomaiset tutkivat vähän väliä Maltalle rekisteröityjä yhtiöitä, joilla on epäiltyjä yhteyksiä rikollisverkostoihin.
Tällä kertaa tapaus antaa aihetta pohtia, kuinka turvallisesti eurooppalaiset yritysrekisterit ja rahapeliviranomaiset käsittelevätkään dataansa.
Lue myös: Maltan Bill 55 ja EU-säännöt haastavat toisiaan
Lähteet
Postman – “API Security”
