|
|
Puute käyttäjätietojen pääsynhallinnassa |
Hei Luupin www-sivuston käyttäjä!
llalla 20.11.2018 Luupin www-sivustolla huomattiin puute käyttäjätietojen pääsynhallinnassa. Tämän seurauksena kirjautunut käyttäjä on suunnittelemattomasti voinut hakea ja muokata Omat tiedot -osiossa näkyviä käyttäjien tietoja taustajärjestelmän rajapinnan kautta. Aukko oli olemassa syyskuusta 2016 alkaen. Käyttäjätietojärjestelmä ajettiin alas välittömästi vian löytymisen jälkeen ja järjestelmä käynnistettiin uudestaan vian korjaamisen jälkeen aamupäivällä 21.11.2018. Tiedossamme ei ole, että kukaan olisi käyttänyt tätä pääsyä, mutta emme valitettavasti voi saatavissa olevilla tiedoilla sulkea pois sitä, että joku olisi tätä pääsyä käyttänyt.
Puutteen vuoksi mahdollisesti paljastuneet käyttäjien henkilötiedot ovat ne tiedot, joita sivuston käyttäjiltä kysytään sivuston Omat tiedot-osiossa. Näitä tietoja on voinut aukon kautta myös muokata sähköpostiosoitetta lukuunottamatta, sillä sen muokkaamiseksi on tarvinnut kuitenkin tietää kohteena olevan käyttäjätilin salasana. Salasanat säilytetään tietokannassa tiivistettynä, eikä salasanoja palauteta missään muodossa minkään ulkoisen rajapinnan kautta tietokannan ulkopuolelle. Tietoturva-aukko ei koskenut maksu- tai maksuvälinetietoja (pankkitunnukset tai luottokorttitiedot) tai tilaushistoriaa. Luuppi ry ei kerää itselleen sivustonsa toiminnan osana minkäänlaisten maksuvälineiden tietoja, vaan niiden käsittelystä vastaa kokonaisuudessaan maksupalvelukumppanimme.
Olemme pahoillamme tästä virheestä. Tämän tapauksen johdosta tulemme katselmoimaan jo olemassa olevan verkkopalvelun pääsynhallinnan ja parannamme sivuston käytöstä kerättäviä lokeja, jotta voimme tulevaisuudessa olla varmoja siitä, mitä tietoja järjestelmässä on käsitelty ja millä tavoin. Myös lokien jatkuvaa seurantaa parannetaan.
Otathan yhteyttä osoitteeseen webmaster@luuppi.fi, jos sinulla on kysymyksiä tapahtuneesta, kehitysehdotuksia, olet vapaaehtoinen toimimaan Luupin www-vastaavana tulevaisuudessa tai tarvitset apua www-sivustoon liittyen.
Pahoitellen,
www-vastaavat, Luuppi ry |
Lisätty torstaina 22. marraskuuta 2018 klo 00:45 |
Takaisin
|
Unohtuiko salasana?
|