Galimą saugumo spragą aptiko teisininkas ir informacinių technologijų entuziastas M.Kiškis. Joje rasti neužšifruoti mokėjimų procesoriaus „Braintree“, priklausančio „PayPal“, privatus ir viešas raktai, pirkėjo identifikacinis numeris ir aplinkos tipas. M.Kiškio tikinimu, tai lyg raktas nuo seifo, kuriame galima būtų rasti mokėjimo kortelių informaciją.
„Iš šio ekranvaizdžio (žemiau – red.) matyti, kad įmonė atskleidė savo pačių kriptografinius raktus prisijungiant prie mokėjimų procesoriaus, prie sistemos, kurioje saugomi mūsų visų aktualūs mokėjimo kortelių duomenys. Ar tas slaptažodis dabar yra visiškai naujas, nežinau, (…) bet tai yra raktas nuo seifo, kuriame gali gulėti pilni mūsų mokėjimo kortelių duomenys“, – tikina jis.
Paviešinta informacija neturėtų leisti prieiti prie vartotojų kreditinių kortelių informacijos.
„Tai kelia rimtų įtarimų dėl sisteminio aplaidumo, kad įmonė Bendrąjį duomenų apsaugos reglamentą ignoruoja ir ignoravo“, – prideda teisininkas.
Praėjusią savaitę 15min skelbė interviu su save „CityBee“ duomenis pasisavinusios grupuotės nariu laikančiu asmeniu, prisistačiusiu Asik, teigiančiu, kad jie turi vartotojų banko mokėjimo kortelių duomenis. Anot M.Kiškio, šis atradimas rodo, kad tai gali būti tiesa. Kita vertus, teisininkas prideda, kad nėra žinoma, ar šis kriptografinis raktas vis dar galioja, o gal buvo pakeistas. Pats Asik įrodymų, kad iš tiesų disponuoja mokėjimo kortelių duomenimis, taip pat nepateikė.
(...) Naudojami emuliuoti, „Braintree“ sukurti, netikri, imitaciniai vartotojų duomenys.
„CityBee“ ir IT specialistas grėsmių neįžvelgia
Su atrasta informacija susipažinęs IT saugumo specialistas Darius Povilaitis turi kitokią poziciją. Jis labai abejotų, ar dėl naujų duomenų, jeigu jie patektų į blogas rankas, gali kilti kokių nors rizikų „CityBee“ klientų banko kortelėms.
„[Aptikta] informacija skirta mokėjimų tarp „CityBee“ ir „Braintree“ verifikacijai (skaitmeniniam parašui ant pinigų pervedimo). Tai normali praktika, kuri naudojama ir Lietuvoje esančių mokėjimo įstaigų. Esant neteisingam mokėjimo skaitmeniniam parašui, ji turi būti atmetama. Paviešinta informacija neturėtų leisti prieiti prie vartotojų kreditinių kortelių informacijos, prieigos prie sistemos privatus raktas (private key – angliškai) bent jau šiuo atveju nesuteikia“, – teigia jis.
„Citybee“ bendrovės vadovas Kristijonas Kaikaris taip pat tikina, kad aptikta informacija negali būti naudojama prisijungti prie „Braintree“ duomenų bazės, tad saugumo rizikos nėra.
Yra ne vienas šimtas kopijų tos duomenų bazės jau šiandien padaryta ir tai negrįžtamas procesas.
„Šie identifikaciniai kodai buvo naudojami kaip „CityBee“ atpažinimo priemonė vidinės informacijos apsikeitimo tarp „CityBee“ ir „Braintree“ vykusio testavimo metu. Šie duomenys yra negaliojantys ir nėra skirti prisijungimui prie jokių „Braintree“ duomenų bazių.
Toks bandymas (testavimas – red.) yra vienkartinis. Jis yra skirtas tam, kad būtų patikrinta, ar apsikeitimas informacija tarp „CityBee“ ir „Braintree“ sistemų vyksta sklandžiai. Bandymas vykdomas specialioje testinėje aplinkoje, o jam naudojami emuliuoti, „Braintree“ sukurti, netikri, imitaciniai vartotojų duomenys“, – teigia jis.
Sukčiavimo incidentų nepadaugėjo
Lietuvos bankų asociacijos Finansinių nusikaltimų prevencijos komiteto vadovas Audrius Šapola teigia, kad po duomenų nutekinimo bankai sulaukė daugiau nerimo skambučių iš vartotojų nei įprastai, bet sukčiavimo incidentų, kuriuos būtų galima laikyti susijusiais su „CityBee“, padidėjimo nepastebėjo nė vienas bankas.
„Visi bankai teigia, kad klientai skambina, nerimauja, nori pasikeisti korteles, ir bankai tą padaro, jeigu klientas prašo, bet sukčiavimo incidentų, kurie galėtų būti susiję su „CityBee“ duomenimis, nepadaugėjo. Šuolio į viršų nematyti“, – sako jis.
Finansinių nusikaltimų prevencijos specialistas primena, kad jeigu asmuo yra patekęs tarp nukentėjusiųjų dėl duomenų nutekinimo, jis turėtų ne tik pasikeisti slaptažodžius, tačiau ir naudoti dviejų žingsnių identifikavimo (2FA) apsaugos būdą, kuris užtikrina dvigubą apsaugą prisijungiant prie paskyrų.
„Jeigu slaptažodis yra raktas nuo spynos, tai dviejų faktorių identifikavimo būdas yra signalizacija“, – palygina jis. Anot A.Šapolos, 2FA metodą galima taikyti jungiantis ir prie „Google“, ir prie „Facebook“, ir kitų kompanijų paskyrų.
Dėl pagrobtų duomenų po „CityBee“ atvejo kreipėsi 169 asmenys
Dėl pagrobtų duomenų po „CityBee“ atvejo į policiją kreipėsi 169 asmenys, rašo BNS. Policijos generalinio komisaro pavaduotojas Arūnas Paulauskas sako, kad kol kas nėra žinių, kad pasinaudojant pagrobtais duomenimis būtų bandoma įvykdyti nusikalstamas veikas.
„Į policiją kreipėsi 169 asmenys, kurie informavo, kad duomenys buvo pagrobti, kol kas duomenų, kad būtų įvykdytos nusikalstamos veikos su tais duomenimis, naudojantis kažkur įsilaužiant, pasisavinant pinigus, lėšas, dar tokių duomenų neturime“, – trečiadienį per Seimo Teisės ir teisėtvarkos komiteto posėdį sakė A.Paulauskas.
Tačiau jis pripažino, kad „duomenys išplitę plačiai, yra ne vienas šimtas kopijų tos duomenų bazės jau šiandien padaryta ir tai negrįžtamas procesas“. Policija nuogąstauja, kad paviešintais vairuotojų pažymėjimų duomenimis gali būti pasinaudota klastojant vairuotojo pažymėjimus.
Policijos atstovas taip pat pavirtino, kad tiriamos kelios versijos, nuo įsilaužimo iki paliktos laisvos prieigos prie duomenų.
„Tiriame ne vieną versiją, kad buvo įsilaužta, kad buvo galbūt palikta laisva prieiga, yra ir kitų tyrimo versijų, kurių dėl ikiteisminio tyrimo negalėčiau viešai komentuoti, vykdomi intensyvūs ikiteisminio tyrimo veiksmai“, – sakė vienas policijos vadovų.
Praėjusią savaitę bendrovė pranešė, kad nusikaltėliai viename iš kibernetinių įsilaužėlių pamėgtų forumų paskelbė trejų metų senumo 110 tūkst. jos klientų duomenis. Pavogti ne tik dalies „CityBee“ klientų vardai, pavardės ir asmens kodai, bet ir telefonų numeriai, elektroninio pašto adresai, gyvenamosios vietos adresai, vairuotojų pažymėjimo numeriai bei užkoduoti slaptažodžiai.
Dėl įvykio ikiteisminį tyrimą pradėjo policija, įvykį aiškinasi ir kitos tarnybos.
Planuojama papildyti „Braintree“ bendrovės komentaru.
