Hakkerit testasivat MPASSid-palvelun tietoturvaa
Opetus- ja kulttuuriministeriö ja CSC – Tieteen tietotekniikan keskus Oy testauttivat oppilaiden tunnistautumiseen tarkoitetun MPASSid-palvelun tietoturvaa haavoittuvuuksia paikallistavalla palkkio-ohjelmalla. Palvelusta saatiin seitsemän haavoittuvuusraporttia, ja niistä kahden perusteella tehtiin parannuksia palvelun tietoturvaan.
Perus- ja toisen asteen oppilaitoksissa käytettävän MPASSid-tunnistuspalvelun avulla oppilaat voivat käyttää samaa opetuksen järjestäjän antamaa tunnusta kirjautuakseen eri palveluntarjoajien digitaalisiin palveluihin.
Tietoturva on yksi tärkeimmistä MPASSid:n tavoitteista, ja palkkio-ohjelma haavoittuvuuksien löytämiseksi on osoittautunut tehokkaaksi keinoksi parantaa tietoturvaa. Palkkio-ohjelmassa hakkereille luvattiin suurimmillaan 10 000 euron palkkio, jos he löytäisivät erittäin vakavan tietoturvapuutteen.
Hakkereille annettiin käyttäjätunnukset ja laajat oikeudet kuvitteellisen Hakkerilan koulun sähköisiin oppimisen palveluihin, ja heidän tehtävänään oli etsiä tietoturvapuutteita ja haavoittuvuuksia. Testaajilta saatiin seitsemän raporttia, jotka yhtä lukuun ottamatta kohdistuivat MPASSid:n asiakkaiden järjestelmiä simuloiviin järjestelmiin. Vakavimmasta löydöksestä maksettiin 300 euron palkkio, ja löydöksen perusteella palvelun oletusasetuksia muutettiin niin, ettei uudelleenohjausta sallita.
Testauksen toteutti haavoittuvuuspalkinto- eli bug bounty-ohjelmiin erikoistunut Hackr.fi. Puoli vuotta kestänyt murtotestaus käynnistyi syyskuussa. Testiä varten CSC rakensi tuotantoa vastaavan ympäristön, joka oli teknisesti erillään MPASSid:n tuotantopalveluista ja muista CSC:n palveluista ja verkoista. Tällä varmistettiin, että murtotestaus ei vaaranna tuotantopalveluita.
Lisätietoja:
Tietoa MPASSid tunnistuspalvelusta
Hakkerit parantamaan kansallisen MPASSid-tunnistuspalvelun tietoturvaa. Uutinen 10.9.2018
Manne Miettinen (CSC – Tieteen tietotekniikan keskus)
Tero Huttunen (opetus- ja kulttuuriministeriö), p. 0295 330 219