LTAT magistritööd – Master's theses

Selle kollektsiooni püsiv URIhttps://hdl.handle.net/10062/30974

Sirvi

Sirvi LTAT magistritööd – Master's theses Märksõna "account existence leak" järgi

Tulemuste filtreerimiseks trükkige paar esimest tähte
Nüüd näidatakse 1 - 1 1
  • Pisipilt
    listelement.badge.dso-type Kirje ,
    Account Existence Leaks in Estonian Online Services
    (Tartu Ülikool, 2025) Eesmaa, Gregor; Paršovs, Arnis, juhendaja; Tartu Ülikool. Loodus- ja täppisteaduste valdkond; Tartu Ülikool. Arvutiteaduse instituut
    Konto olemasolu leke on turvanõrkus, mis võimaldab ründajal tuvastada, kas kasutaja on veebiteenuses registreeritud. Seda viga saab ära kasutada nii laiaulatuslikuks kontode loendamiseks kui ka sihitud rünneteks, mis kujutab endast märkimisväärset privaatsusriski ja on tõenäoliselt vastuolus EL-i isikuandmete kaitse üldmäärusega (IKÜM). Käesolev magistritöö uurib selle haavatavuse levimust populaarsetes Eesti veebiteenustes, mis kasutavad kontotunnusena meiliaadresse. Töös viidi läbi süstemaatiline turvaanalüüs 55 populaarsel Eesti veebilehel ja mobiilirakenduses, testides haavatavuse suhtes selliseid funktsionaalsusi nagu sisselogimine, parooli lähtestamine, kontode registreerimine ja e-posti aadressi muutmine. Tehnilisele analüüsile järgnes mitmeetapiline vastutustundliku avalikustamise protsess, mis hõlmas kohandatud haavatavusaruandeid ja ametlikke IKÜM-i andmesubjekti päringuid nõuetele mittevastavatele teenusepakkujatele. Uuringust selgus, et kõik testitud teenused olid haavatavad konto olemasolu leketele vähemalt ühe vektori kaudu, kusjuures konto registreerimise ja e-posti muutmise vormid olid kõige sagedamini haavatavad. Enamus testitud teenuseid, 31 (56%), võimaldas varjatud lekkeid ja neil nähtavasti puudusid elementaarsed automatiseerimisvastased meetmed, võimaldades seeläbi varjatud ja massilist kontode loendamist. Nii esialgne vabatahtlik avalikustamine kui ka ametlikud IKÜM-i päringud osutusid tõhusateks vahenditeks paranduste esilekutsumisel, mille tulemusel 15 (27%) testitud teenustest vea täielikult parandasid. Tulemused viitavad süsteemsele kultuurilisele ja regulatiivsele hooletusele konto olemasolu lekete ennetamisel. See uurimus on esimene põhjalik ja laiaulatuslik konto olemasolu lekete analüüs Eesti kontekstis, mis kinnitab IKÜM-põhise teavitusstrateegia tõhusust nõuetele vastavuse saavutamiseks ning pakub praktilisi soovitusi teenusepakkujatele, poliitikakujundajatele ja kasutajatele selle laialt levinud privaatsusriski maandamiseks.