Ministrė antradienį susitiko su policijos, Valstybinės duomenų apsaugos inspekcijos (VDAI) ir „CityBee“ paslaugą teikiančios bendrovės atstovais aptarti 110 tūkst. vartotojų duomenų vagystės.
„Būtent susitikime visgi įvertinome tas rizikas, kurias matome pakankamai žemas dėl vairuotojo pažymėjimo panaudojimo arba banko kortelių duomenų“, – spaudos konferencijoje sakė ministrė.
Į tai atsižvelgus, pasak jos, kol kas nerekomenduojama vartotojams skubėti keisti dokumentų.
Atkreipėme bankų atstovų dėmesį, kad būtų nuodugniau žiūrima į operacijas.
„Tokių rekomendacijų neteikiame, bet atkreipėme bankų atstovų dėmesį, kad būtų nuodugniau žiūrima į operacijas“, – sakė ji.
Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas sakė, jog apie įvykį informuotas tiek Nacionalinis kibernetinio saugumo centras, tiek Lietuvos bankas.
Taip pat, pasak E.Dobrovolskos, bendrovė informavo, jog paskelbti visi jos turėti duomenys, todėl papildoma vartotojų informacija, be tos, kuri jau buvo paskelbta, paviešinta neturėtų būti.
Kadangi vairuotojo pažymėjimai nebuvo, pasak ministrės, mažai tikėtina, kad su šiais duomenimis būtų galima, pavyzdžiui, žmogaus vardu neteisėtai pasiimti paskolą ar atlikti kitus veiksmus.
Bendrovė – nukentėjusioji
Policijos generalinio komisaro Renato Požėlos teigimu, „CityBee“ paslaugas teikianti bendrovė „Prime Leasing“ teisėsaugos pradėtame ikiteisminiame tyrime yra pripažinta nukentėjusiąja.
Pasak jo, kol kas nėra nustatyta nei kokiu būdu, nei kada buvo prisijungta prie bendrovės duomenų bazės, taip pat nėra nustatyta, ar tai atlikta įsilaužiant. Tikslinama ir padaryta žala.
„Vykdomi intensyvūs ikiteisminio tyrimo veiksmai ir turime tam tikros reikšmingos informacijos, kuri gauta vykdant neviešo pobūdžio veiksmus“, – sakė generalinis komisaras.
Vis dėlto kol kas, pasak jo, yra „daugiau yra klausimų negu atsakymų“.
Pasak R.Andrijausko, kol kas sunku pasakyti, ar bendrovė yra kalta dėl susidariusios situacijos – tam reikėtų nustatyti, jog bendrovė nesilaikė reikalavimų, duomenis laikė nesaugiai. Jis atkreipė dėmesį, kad kartais įveikti galima ir saugiausią sistemą.
Tiek Duomenų inspekcijos, tiek policijos teigimu, institucijos turi nukentėjusių vartotojų duomenis, todėl papildomai kreiptis ir pateikti pareiškimus nėra būtina – jų abi institucijos gavo po daugiau kaip 20. Pranešti vertėtų nebent apie papildomą informaciją.
Antradienio naktį nutekinta apie 110 tūkstančių Lietuvoje registruotų automobilių dalijimosi paslaugos „CityBee“ vartotojų informacija.
Kaip pranešė bendrovė, nusikaltėliai viename iš kibernetinių įsilaužėlių pamėgtų forumų paskelbė trejų metų senumo vartotojų duomenis.
Buvo pavogti ne tik dalies „CityBee“ klientų vardai, pavardės ir asmens kodai, bet taip pat ir telefonų numeriai, elektroninio pašto adresai, gyvenamosios vietos adresai, vairuotojų pažymėjimo numeriai bei užkoduoti slaptažodžiai.
Policija vykdo ikiteisminį tyrimą dėl neteisėto elektroninių duomenų perėmimo bei neteisėto prisijungimo prie informacinės sistemos.
15min primena, kad informaciją apie „CityBee“ klientų duomenų vagystę ir pardavinėjimą kiek anksčiau antradienį pateikė kompanijos vadovas Kristijonas Kaikaris.
Pirmadienį „CityBee“ atstovai teigė, kad įmonė esą deda visas pastangas, jog paskelbti duomenys būtų pašalinti iš forumo.
Tačiau tai iki šiol nepadaryta, o vartotojas 000 ankstų antradienio rytą forume paskelbė, kad parduoda visą pavogtą informaciją už 1 tūkst. JAV dolerių bitkoinais.
Pardavėjas pridėjo kelias esą turimų duomenų momentines ekrano kopijas. Jose matyti „CityBee“ klientų vardai ir pavardės, elektroninio pašto adresai, telefono numeriai, tų, kurie nurodė šią informaciją, gyvenamieji adresai, vairuotojo pažymėjimų numeriai, asmens kodai.
Panašu, kad parduodami ir konkrečiai su „CityBee“ automobilių naudojimu susiję duomenys – mašinų rezervavimo, parkavimo istorija. Iš viso pavogti 114,253 tūkst. asmenų privatūs duomenys, įskaitant užkoduotus jų slaptažodžius.
Specialistai, įvertinę pavogtus ir dabar potencialiems pirkėjams siūlomus duomenis, daro išvadą, kad klientų slaptažodžius kaip tik nesunku iššifruoti.
K.Kaikaris, tvirtinęs, kad pavogti duomenys klientų, užsiregistravusių iki 2018 metų vasario, pirmadienį aiškino, esą „CityBee“ klientų saugumas niekaip nenukentės – naudojami slaptažodžiai nebuvo paviešinti ir yra kruopščiai saugomi.
Jis ir antradienį per specialią spaudos konferenciją teigė, esą sistema gerokai saugesnė nei 2018 metais – esą slaptažodžiai koduojami kitaip ir juos atkoduoti gerokai sunkiau.
Vis dėlto specialistai, įvertinę pavogtus ir dabar potencialiems pirkėjams siūlomus duomenis, daro išvadą, kad klientų slaptažodžius kaip tik nesunku iššifruoti.
Esą „CityBee“ klientų slaptažodžius laikė nesaugiu SHA1 kriptografiniu algoritmu, o daugybės nukentėjusių vartotojų slaptažodžių neva pasiekiami per kelias sekundes.
Kitaip tariant, slaptažodžio maišos funkcija (hash) nebuvo naudojama su vadinamuoju „sūdymo“ (salt) parametru. Toks dvigubas saugojimas dažniausiai neleidžia įsilaužėliams pritaikyti net išmaniausių slaptažodžio atspėjimo metodų.
Artūras Orševskis, kompanijos „KPMG Baltics“ technologijų konsultacijų skyriaus vadovas, feisbuke rašo: „Buvo naudojamas prastas kodavimo algoritmas, ko pasekoje absoliuti dauguma slaptažodžių yra atkoduojami.
Man pakako keleto valandų sugeneruoti CityBee duomenų bazės vieno žodžio slaptažodžių Top 10.“
Tiek, A.Orševskis, tiek viešosios įstaigos „Informacinis saugumas“ vadovas Marius Pareščius rekomenduoja kuo greičiau pasikeisti slaptažodžius naudojamose programėlėse ir sistemose. Geriausia – kad slaptažodžiai visur būtų skirtingi.
Ragina pasikeisti slaptažodžius
„CityBee“ antradienį atnaujino informaciją apie incidentą. Paaiškėjus naujiems faktams, „CityBee“ savo klientus, kurie bendrovės sistemoje registravosi iki 2018 m. vasario 22 d., paragino pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
K.Kaikaris patvirtino, kad per praėjusią naktį programišių skelbiami ir pirkimui siūlomi „CityBee“ klientų duomenys išsiplėtė – atsirado adresai, telefono numeriai.
„Labai svarbu tai, kad nėra duomenų apie mokėjimo korteles, nes „CityBee“ tų duomenų nekaupia“, – vis dėlto pažymėjo K.Kaikaris.
„CityBee“ taip pat kuria specialią karštąją liniją. Visi, kurie bendrovės sistemoje registravosi iki 2018 m. vasario 22 d., rūpimus klausimus užduoti jau gali el. paštu info@citybee.lt. Netrukus taip pat bus sukurta ir karštoji telefono linija.
„Labai apgailestaujame. Pats asmeniškai nukentėjau, mano artimieji, draugai. Šiuo metu mūsų prioritetas – klientai, todėl įkūrėme karštąją liniją.
Bendradarbiaujame su policija, kibernetinio saugumo ekspertais, aiškinamės aplinkybes“, – antradienį tvirtino kompanijos vadovas K.Kaikaris.
Visiems klientams, kurie registravosi iki 2018 metų vasario 22 dienos, būtina pasikeisti slaptažodį. Rekomenduotina pasikeisti slaptažodžius ir kitose sistemose – neretai jie sutampa. Be to, slaptažodžiai turi būti sudėtingesni.
K.Kaikariui keista tai, kad duomenys skelbiami dabar, nors buvo pavogti prieš trejus metus – vis dėlto daug ką dar tik bandoma išsiaiškinti.
„Nusikaltėliai stebi viešąją erdvę ir iš to, kas skelbiama, matyti, kad jie ieško naudos“, – tvirtino K.Kaikaris, pridūręs, kad į pačią „CityBee“ programišiai su, pavyzdžiui, ultimatumais nesikreipė.
Pradėti tyrimai
Feisbuke jau įkurta vartotojų grupė „Nukentėjusieji nuo Citybee“, kurioje skelbiama, kad jos vienintelis tikslas – „susiburti žmonėms, kurie nukentėjo dėl asmens duomenų nutekinimo, bei teikti grupinį ieškinį“.
O policija pradėjo ikiteisminį tyrimą dėl pavogtų automobilių dalijimosi paslaugos „CityBee“ klientų duomenų.
Ikiteisminis tyrimas vykdomas dėl neteisėto elektroninių duomenų perėmimo bei neteisėto prisijungimo prie informacinės sistemos.
Jį atlieka Kriminalinės policijos biuras, bendradarbiaudamas su įmone, antradienį pranešė Policijos departamentas.
Valstybinė duomenų apsaugos inspekcija paragino nukentėjusius žmones pasikeisti slaptažodžius ir nepasiduoti sukčių provokacijoms mokėti išpirkas.
„Prašome žmonių nesusigundyti siūlymais įsigyti pagrobtus duomenis, o apie tokius siūlymus pranešti policijai per portalą www.epolicija.lt“, – rašoma Policijos departamento pranešime.
Policija taip pat įspėja nesidalinti ir neplatinti pavogtų duomenų ir nuorodų, kur juos galima įsigyti.
Nukentėję nuo duomenų vagystės asmenys, pasak policijos, gali kreiptis į artimiausią policijos įstaigą ar parašyti pareiškimą per e.policija sistemą.
Jie taip pat raginami nedelsiant pasikeisti „CityBee“ platformos ir elektroninio pašto, kuriuo buvo registruojamasi prie jos, prisijungimo slaptažodžius bei visus kitus prisijungimo prie kitų elektroninės erdvės paskyrų slaptažodžius jei jie sutampa su naudotais „CityBee“.
Valstybinė duomenų apsaugos inspekcija (VDAI) irgi pranešė pradedanti tyrimą dėl pavogtų „CityBee“ vartotojų duomenų vagystės. Ji paragino nukentėjusius žmones pasikeisti slaptažodžius ir nepasiduoti sukčių provokacijoms mokėti išpirkas.
„Šiuo metu visos su incidentu susijusios institucijos bendradarbiaujame, kad kaip galima labiau užkirstume kelią galimam tolesniam neteisėtam asmens duomenų tvarkymui, taip pat patariame ir patiems žmonėms imtis nuo jų priklausančių saugumo priemonių, pirmiausia, pasikeisti slaptažodžius, nepasiduoti sukčių provokacijoms mokėti išpirkas, sekti mūsų ir policijos informaciją dėl šio incidento“, – sakė inspekcijos direktorius Raimondas Andrijauskas.
„Net nekyla abejonių, kad privatūs asmens duomenys yra neįkainojamas turtas ir jų vagystė yra vertinama itin jautriai. Valstybinė duomenų apsaugos inspekcija šioje situacijoje turi reaguoti žaibiškai, todėl betarpiškai bendraujame akylai lauksime tyrimo rezultato, kad, prireikus, galėtume imtis ir teisinio duomenų apsaugos reguliavimo. Pilkųjų zonų čia negali likti“, – teigė teisingumo ministrė Evelina Dobrovolska.
Nukentėję asmenys, susiję su šiuo duomenų saugumo incidentu, gali kreiptis bendru VDAI elektroniniu paštu ada@ada.lt, tyrimo laukelyje nurodydami raktinį žodį „CityBee“. Atsižvelgiant į tai, kad VDAI pradės tyrimą savo iniciatyva dėl duomenų saugumo pažeidimo įmonėje, todėl nukentėjusiesiems nėra būtinybės teikti atskirus skundus.
Besikreipiantieji į VDAI turėtų nurodyti, kad jų duomenys galėjo būti nutekinti, visa kita VDAI nustatys tyrimo metu ir asmeniškai susisieks su galimai nukentėjusiais asmenimis. Taip pat apie priimtą sprendimą bus paskelbta viešai.
VDAI atkreipia dėmesį, kad, vadovaujantis Bendruoju duomenų apsaugos reglamentu, duomenų saugumo pažeidimą patyrusi organizacija turi nedelsiant imtis visų priemonių padėčiai ištaisyti. Be kita ko, ne vėliau kaip per 72 val. apie tai pateikti pranešimą VDAI ir informuoti, su šiuo incidentu susijusius asmenis, kurių duomenys galėjo nukentėti.
Antradienį pavakare pranešta, kad į policiją ir VDAI su skundais kreipėsi 22-23 fiziniai asmenys.
Patarimai, ką daryti
Reaguodama į šį incidentą, VDAI paskelbė patarimus, ką turėtų daryti vartotojas įvykus duomenų saugumo incidentui.
Pasak tarnybos, svarbu nedelsiant pakeisti visų virtualių paslaugų – socialinių tinklų, internetinių parduotuvių, internetinės komunikacijos ir panašiai, slaptažodžius, taip pat su jomis susijusių paslaugų slaptažodžius.
Senojo slaptažodžio reikėtų nebenaudoti, o naujuosius – keisti kas pusmetį. Vartotojai turėtų nenaudoti lengvai atspėjamų slaptažodžių, tokių kaip „qwerty“ ar „123456“, kiekvienai paslaugai svarbu susikurti skirtingus slaptažodžius.
Pastebėjus, kad pasikėsinta į daugiau paslaugų, reikėtų pasirūpinti jų kontrolės susigrąžinimu. Dažniausiai reikia atsakyti į kelis klausimus apie savo paskyrą.
Atgavus jų kontrolę, svarbu patikrinti, ar nebuvo palikta „atvirų durų“ (angl. backdoor), pro kurias galėtų sugrįžti įsibrovėliai: ar yra sukonfigūruoti pašto korespondencijos persiuntimai į kitas pašto dėžutes, ar išjungti šlamšto filtrai ir ar pasikeitė atsakymai į saugos klausimus kitų paslaugų paskyrose.
Vartotojai taip pat turėtų atidžiai stebėti, kas vyksta su jų sąskaitomis, ar internetinėse parduotuvėse nebuvo pridėti nauji pristatymo adresai, prijungtos naujos paskyros.
Taip pat rekomenduojama atšaukti visus suteiktus atviro prisijungimo leidimus, vietoj to sukuriant atskirą prisijungimą su vartotojo vardu ir slaptažodžiu.
