Account Existence Leaks in Estonian Online Services
| dc.contributor.advisor | Paršovs, Arnis, juhendaja | |
| dc.contributor.author | Eesmaa, Gregor | |
| dc.contributor.other | Tartu Ülikool. Loodus- ja täppisteaduste valdkond | et |
| dc.contributor.other | Tartu Ülikool. Arvutiteaduse instituut | et |
| dc.date.accessioned | 2025-10-20T08:45:07Z | |
| dc.date.available | 2025-10-20T08:45:07Z | |
| dc.date.issued | 2025 | |
| dc.description.abstract | Konto olemasolu leke on turvanõrkus, mis võimaldab ründajal tuvastada, kas kasutaja on veebiteenuses registreeritud. Seda viga saab ära kasutada nii laiaulatuslikuks kontode loendamiseks kui ka sihitud rünneteks, mis kujutab endast märkimisväärset privaatsusriski ja on tõenäoliselt vastuolus EL-i isikuandmete kaitse üldmäärusega (IKÜM). Käesolev magistritöö uurib selle haavatavuse levimust populaarsetes Eesti veebiteenustes, mis kasutavad kontotunnusena meiliaadresse. Töös viidi läbi süstemaatiline turvaanalüüs 55 populaarsel Eesti veebilehel ja mobiilirakenduses, testides haavatavuse suhtes selliseid funktsionaalsusi nagu sisselogimine, parooli lähtestamine, kontode registreerimine ja e-posti aadressi muutmine. Tehnilisele analüüsile järgnes mitmeetapiline vastutustundliku avalikustamise protsess, mis hõlmas kohandatud haavatavusaruandeid ja ametlikke IKÜM-i andmesubjekti päringuid nõuetele mittevastavatele teenusepakkujatele. Uuringust selgus, et kõik testitud teenused olid haavatavad konto olemasolu leketele vähemalt ühe vektori kaudu, kusjuures konto registreerimise ja e-posti muutmise vormid olid kõige sagedamini haavatavad. Enamus testitud teenuseid, 31 (56%), võimaldas varjatud lekkeid ja neil nähtavasti puudusid elementaarsed automatiseerimisvastased meetmed, võimaldades seeläbi varjatud ja massilist kontode loendamist. Nii esialgne vabatahtlik avalikustamine kui ka ametlikud IKÜM-i päringud osutusid tõhusateks vahenditeks paranduste esilekutsumisel, mille tulemusel 15 (27%) testitud teenustest vea täielikult parandasid. Tulemused viitavad süsteemsele kultuurilisele ja regulatiivsele hooletusele konto olemasolu lekete ennetamisel. See uurimus on esimene põhjalik ja laiaulatuslik konto olemasolu lekete analüüs Eesti kontekstis, mis kinnitab IKÜM-põhise teavitusstrateegia tõhusust nõuetele vastavuse saavutamiseks ning pakub praktilisi soovitusi teenusepakkujatele, poliitikakujundajatele ja kasutajatele selle laialt levinud privaatsusriski maandamiseks. | |
| dc.identifier.uri | https://hdl.handle.net/10062/116876 | |
| dc.language.iso | en | |
| dc.publisher | Tartu Ülikool | et |
| dc.rights | Attribution-NonCommercial-NoDerivatives 4.0 International | |
| dc.rights.uri | https://creativecommons.org/licenses/by-nc-nd/4.0/ | |
| dc.subject | Cybersecurity | |
| dc.subject | privacy | |
| dc.subject | GDPR | |
| dc.subject | account existence leak | |
| dc.subject | account enumeration | |
| dc.subject | targeted phishing | |
| dc.subject | large-scale vulnerability testing | |
| dc.subject | large-scale vulnerability disclosure | |
| dc.subject | Küberturve | |
| dc.subject | privaatsus | |
| dc.subject | IKÜM | |
| dc.subject | konto olemasolu leke | |
| dc.subject | kontode loendamine | |
| dc.subject | sihitud andmepüük | |
| dc.subject | laiaulatuslik haavatavuste testimine | |
| dc.subject | laiaulatuslik haavatavustest teavitamine | |
| dc.subject.other | magistritööd | et |
| dc.subject.other | informaatika | et |
| dc.subject.other | infotehnoloogia | et |
| dc.subject.other | informatics | en |
| dc.subject.other | infotechnology | en |
| dc.title | Account Existence Leaks in Estonian Online Services | |
| dc.type | Thesis | en |
Failid
Originaal pakett
1 - 1 1
Laen...
- Nimi:
- Eesmaa_computer_science_2025.pdf
- Suurus:
- 3.2 MB
- Formaat:
- Adobe Portable Document Format