Hakkerit testasivat MPASSid:n tietoturvaa – oletusasetuksia tiukennettiin

Perus- ja toisen asteen oppilaitoksissa käytettävän MPASSid-tunnistuspalvelun avulla oppilaat voivat käyttää samaa opetuksen järjestäjän antamaa tunnusta kirjautuakseen eri palveluntarjoajien digitaalisiin palveluihin.

Tietoturva on yksi tärkeimmistä MPASSid:n tavoitteista, ja palkkio-ohjelma haavoittuvuuksien löytämiseksi on osoittautunut tehokkaaksi keinoksi parantaa tietoturvaa. Palkkio-ohjelmassa hakkereille luvattiin suurimmillaan 10 000 euron palkkio, jos he löytäisivät erittäin vakavan tietoturvapuutteen, esimerkiksi keinon, jolla voisivat esiintyä toisena käyttäjänä. Hakkereille annettiin käyttäjätunnukset ja laajat oikeudet kuvitteellisen Hakkerilan koulun sähköisiin oppimisen palveluihin, ja heidän tehtävänään oli etsiä tietoturvapuutteita ja haavoittuvuuksia. Testaajilta saatiin seitsemän raporttia, jotka yhtä lukuun ottamatta kohdistuivat MPASSid:n asiakkaiden järjestelmiä simuloiviin järjestelmiin. Vakavimmasta löydöksestä maksettiin 300 euron palkkio, löydöksen perusteella palvelun oletusasetuksia muutettiin niin, ettei uudelleenohjausta mielivaltaiselle sivulle sallita.  Tällaisella sivulla pahantahtoinen hakkeri olisi voinut yrittää huijata käyttäjää paljastamaan salasanansa.

Testauksen toteutti haavoittuvuuspalkinto- eli bug bounty-ohjelmiin erikoistunut Hackr.fi. Puoli vuotta kestänyt murtotestaus käynnistyi syyskuussa. Testiä varten CSC rakensi tuotantoa vastaavan ympäristön, joka oli teknisesti erillään MPASSid:n tuotantopalveluista ja muista CSC:n palveluista ja verkoista. Tällä varmistettiin, että murtotestaus ei vaaranna tuotantopalveluita.

Lisätietoja:

Manne Miettinen
Projektipäällikkö
CSC – Tieteen tietotekniikan keskus

Tero Huttunen
MPASSid-palvelun omistaja 2021 asti
opetus- ja kulttuuriministeriö