Tšehhi teadlasega koos joodud õlled aitasid Eestil ID-kaardi turvaveast teada saada

Eesti ametivõimude eraldi teavitamine ei olnud Švenda sõnul uurimisgrupi jaoks iseenesestmõistetav, sest nad olid juba eelmise aasta 1. veebruaril Infineoni, kelle koodi Eestile ID-kaarte tootev Gemalto kasutab. Infineon hakkas seejärel oma kliente teavitama ja juba 20. juunil peatas Austria turvavea tõttu oma kaartide sertifikaadid.

Švenda sõnul hakkasid nad katsetama turvanõrkuse leidmist Eesti kaartide peal alles augusti alguses (kui nende teadustöö oli peaaegu valmis avalikustamiseks) ning leidsid ka nende pealt sama vea, mille kohta nad olid Infineonile juba veebruaris teada andnud. „See oli kahtlane, et Eesti andis jätkuvalt välja id-kaarte vastsündinutele ja seetõttu me teavitasime 30. augustil ka Eestit,“ ütles ta. „See aga ei olnud iseenesestmõistetav, sest me arvasime, et küll Eesti juba on sellest teadlik. Miks peaks me eraldi neile teada andma?“

Õnneks oli Švendal RIAs tuttav. „Ma teadsin Martin Paljakut isiklikult tänu Opensource’ile ja tänu mõnele õllele, mida me olime viimaste aastate jooksul koos ära joonud,“ ütles ta. „Ma küsisin, et kas te teate midagi sellisest suuremast turvaveast. Kui teate, siis on kõik hästi, kui ei, siis tuleks midagi ette võtta. Tema siis palus mul saata informatsiooni CERT-ile.“

Švenda sõnul järgisid nad turvanõrkuste vastutustundliku teavitamise protokolle ja teavitasid tootjat (Infineoni). Tavaliselt aga siis lepitakse kokku, mis hetkel võib vea laiemale avalikkusele teada anda – nimelt nii pea, kui see kõik avalikuks saab, peaks vastutustundlikult tootjatel olemas olema ka mingisugune lahendus või turvauuendus. Turvavea detailid avalikustati üle maailma 16. oktoobril.