„Maxima“, kaip ir daugelis prekybos tinklų, turi susikūrę savo mobiliąsias programėles. Nurodoma, kad programėlę telefone galima naudoti vietoje plastikinės „Ačiū“ kortelės. Be to, pridėjus savo banko mokėjimo kortelės informaciją, ja galima atsiskaityti ir už pirkinius.
„Pamirškite piniginę, nes, pridėję savo bankinę mokėjimo kortelę, vieno mygtuko paspaudimu su „Maximos“ programėle atsiskaitysite kasoje. Suma už pirkinius bus nuskaičiuota tiesiai iš programėlėje pridėtos bankinės kortelės“, – rašoma programėlės aprašyme.
Būtent ši programėlė vidurvasaryje tapo sukčių taikiniu – pabandę jungtis prie 500 klientų paskyrų, į vieną įsilaužė sėkmingai.
Vagys pasisavino duomenis
15min situaciją pasakojęs vyras, kuris prašė jo neįvardyti, į „Maximą“ kreipėsi rugpjūčio 1 dieną. Jis pastebėjo, jog liepos paskutinėmis dienomis keturis kartus buvo apsipirkta pasinaudojant jo sąskaita, nors vilniečių šeima tądien iškylavo Trakuose ir į jokias parduotuves net nėjo.
„Liepos 31 dieną „Swedbank“ sąskaitoje pastebėjau 4 keistus pirkimus, kurie buvo įvardinti, kaip „Maximos“ programėlė. Pirkimai atlikti liepos 29 dieną, nors tą dieną mes iškylavome Trakuose. Tik pastebėjus pirkimus skubiai susisiekiau su „Swedbank“, užblokavome kortelę, pranešėme „Maximai“. Mums liepė kuo skubiau blokuoti „Maximos“ programėlės paskyrą ir sukurti naują, bet, deja, to padaryti negalime, nes į paskyrą įsilaužta, pakeisti visi prisijungimo duomenys“, – kalbėjo jis.
Pašnekovas norėjo įspėti ir kitus žmones, nes jis su žmona galėjo ir nepastebėti šių pirkinių, jei nebūtų apsipirkta net kelis kartus.
„Jeigu vagių apetitas nebūtų užaugęs, gal būtume ir nepastebėję. Bet pradėjus tikrinti pamatėme, kad „zuikiai“ prasisuko“, – tikino jis.
Be to, sukčiai šeimos sąskaita apsipirko Kaune, nors, pašnekovo tvirtinimu, jis šio miesto parduotuvėse net nėra lankęsis.
Neigia duomenų nutekėjimą
Vyras kreipėsi į „Maximą“ prašydamas pateikti liepos 31 dieną atliktų pirkimų išrašus. Į tai reaguodamas prekybos tinklas atsakė, jog prisijungimo duomenys iš programėlės buvo pasisavinti iš trečiųjų šalių duomenų bazės, kuri nėra susijusi su „Maxima“.
Esą, tai galėjo būti bet kokia internetinė svetainė ar sistema, prie kurios jungiantis jis naudojo identiškus prisijungimus, kuriais jungėsi prie „Ačiū“ paskyros. Nurodoma, jog buvo atliktas vidinis tyrimas ir prekybos tinklas įsitikinęs, jog duomenys buvo atskleisti ne jų ir ne jų partnerių. Tačiau pašnekovas tai labai griežtai neigia.
„Mano žmona turi ekonomikos bakalaurą, su skaičiais draugauja. „Maximos“ paskyrai sukūrėme vienintelį prisijungimo kodą ir tik čia jį naudojome. Mes žmonės atsargūs, neturiu net feisbuko. Ne tie žmonės, kurie galėtų būti apkaltinti aplaidumu“, – įsitikinęs jis.
Pašnekovo teigimu, dėl visos situacijos šeima patyrė didžiulį stresą. Vyras pasakojo, jog jo žmona nemiegojo dvi naktis, o jis pats daugiau nei savaitę neturi banko kortelės.
„Pinigus grąžino „Swedbank“, didelis jiems ačiū. Bet „Maximos“ požiūris nustebino. Atrodo solidi kompanija, turinti galimybes ir finansus apsaugoti savo programėles. Jie turi garantuoti vartotojui saugumą. Juk jei atėjus į parduotuvę užgriūtų stelažas su maistu, o tau pasakoma, kad pats stipriai pajudinai maišelį su makaronais, dėl to užgriuvo, taigi pats kaltas. Taip neturėtų būti“, – tvirtino jis.
Visa ši informacija yra pateikta policijai, tačiau pastaroji 15min daugiau informacijos suteikti negalėjo.
Bandė jungtis prie 500 paskyrų
Rugpjūčio 5 dieną „Maxima“ savo internetinėje svetainėje informavo užfiksavusi įtartinus prisijungimus prie 500 klientų „Ačiū“ paskyrų „pasinaudojant galimai neteisėtai gautais prisijungimų duomenimis“. Tiesa, ši informacija buvo paskelbta tik paties prekybos tinklo interneto svetainėje, tarp elektroninių laiškų tądien tokio pranešimo neradome.
Šiame pranešime „Maxima“ kartojo, jog duomenys buvo pasisavinti iš trečiųjų šalių ir nėra susiję su prekybos tinklu.
„Tai galėjo būti bet kokia internetinė svetainė ar sistema, prie kurios jungiantis naudojote tuos pačius prisijungimus, kaip ir prie savo „Ačiū“ paskyros.
Vos tik pastebėję nestandartinius prisijungimus prie šių paskyrų, klientams rodėme iššokančius pranešimus dėl slaptažodžio pasikeitimo. Siekdami užkirsti kelią bet kokiam piktybiniam pasinaudojimui jūsų paskyromis – nuo dabar ištriname slaptažodžius ir prie mobiliosios programėlės pridėtas bankines korteles į rizikos zoną patekusiems klientams.
Labai atsiprašome už nepatogumus. Raginame atsinaujinti duomenis ir pasikeisti slaptažodžius į kuo saugesnius. Rekomenduojame susikurti naują, jokioje sistemoje nenaudotą slaptažodį“, – rašoma pranešime „Maximos“ interneto svetainėje.
Tačiau pašnekovas, kuris nukentėjo, nėra patenkintas tokiais „Maximos“ teiginiais.
„Jie deklaruoja, kad programėlė yra labai saugi, jog galima susieti su savo bankinėmis sąskaitomis. Mūsų patirtis rodo, kad tikrai taip nėra. Kaip teikėjas, jis privalo garantuoti savo klientų saugumą, kad nebus nutekinti žmonių duomenys“, – kalbėjo jis.
„Maxima“: sukčius identifikuotas
Ernesta Dapkienė, „Maximos“ Komunikacijos ir įvaizdžio departamento direktorė, 15min teigė, kad pastebėjus įtartinus prisijungimus prie paskyrų, prekybos tinkas ėmėsi veiksmų, „kad būtų užkirstas kelias bet tokiam piktybiniam „Ačiū“ paskyros panaudojimui“.
„Informavome visus klientus rekomenduodami pasikeisti slaptažodžius. Taip pat ištrynėme „Ačiū“ paskyros prisijungimus ir prie mobiliosios programėles pridėtas bankines korteles tų klientų, kurie pateko į rizikos zoną“, – teigė ji.
Pasak E.Dapkienės, liepos pradžioje buvo pastebėti nestandartiniai prisijungimai ir buvo informuoti visi klientai, kurie naudojasi „Ačiū“ paskyromis, jiems buvo rekomenduojama pasikeisti slaptažodžius.
„Vėliau, nustačius, kad yra atvejis, jog sukčiams pavyko prie vienos paskyros prisijungti, ėmėmės papildomų veiksmų, kad apsaugotume klientus, ir ištrynėme „Ačiū“ paskyros prisijungimus ir prie mobiliosios programėles pridėtas bankines korteles tų klientų, kurie pateko į rizikos zoną“, – aiškino ji.
Anot E.Dapkienės, buvo pastebėta, kad tarp tikrintų vartotojų vardų yra nemažai tokių, kurie nėra registruoti „Ačiū“ Lojalumo programos vartotojai. Dėl to buvo padaryta išvada, kad buvo naudojama iš trečiųjų šalių surinkta vartotojo vardų ir slaptažodžių duomenų bazė. Paprastai tariant, sukčiai, kurie gavo prieigą prie tinklalapių prisijungimo duomenų, tiesiog spėliojo ir bandė pataikyti.
„Šie duomenys galėjo būti pasisavinti iš bet kokios kitos internetinės svetainės ar sistemos, prie kurios jungiantis naudoti tie patys prisijungimai, kaip ir „Ačiū“ paskyros. Prisijungimo duomenys buvo pasisavinti iš trečiųjų šalių, kurios nėra susijusios su „Maxima“.
Prisijungimai buvo nestandartiniai, tą ir pastebėjome. Bandyta prisijungti su daugybe kitų elektroninių paštų ir slaptažodžių, kurie nėra mūsų duomenų bazėje. Dėl ko galima daryti išvadą, kad buvo naudojama iš trečiųjų šalių surinkta vartotojo vardų ir slaptažodžių duomenų bazė“, – komentavo ji.
Ar tai gali būti susiję su „CityBee“ duomenų nutekinimu, „Maximos“ atstovai atsakyti negalėjo.
E.Dapkienės teigimu, iš viso prekybos tinklas valdo daugiau nei 650 tūkst. „Ačiū“ paskyrų. Sukčiai bandė jungtis prie 500 paskyrų, iš kurių 37 turėjo mobiliosios programėlės ir bankinės kortelės sąsają.
„Tik pastebėjus nestandartinius prisijungimus, ištrynėme pridėtas bankines korteles ir kiekvienos rizikos grupėje buvusios paskyros slaptažodį.
Šiuo metu vyksta ikiteisminis tyrimas dėl galimų neteisėtų atsiskaitymo atvejų. Šie atvejai ir asmuo, vykdęs neteisėtą veiką, buvo greitai identifikuoti. Glaudžiai bendradarbiaujame su policija ir teikiame visą informaciją, reikalingą tyrimui atlikti“, – sakė E.Dapkienė.
Be to, ji tikino, kad klientams padaryta finansinė žala jau yra atlyginta.
„Pirkėjai, kurie registruojasi dalyvauti „Ačiū“ lojalumo programoje, pateikia anketinius duomenis: „Ačiū“ kortelės numerį, vardą ir lytį (šių duomenų pateikimas nėra privalomas, tad klientai pateikia pasirinktinai), gimimo datą, pasirinktinai elektroninio pašto adresą arba telefono numerį, gyvenamosios vietovės savivaldybę. Duomenys yra tvarkomi ir saugomi vadovaujantis lojalumo programos „Ačiū“ privatumo politika, kuri yra viešai prieinama“, – kalbėjo E.Dapkienė.
Anot jos, duomenų apsaugai prekybos tinklas skiria didelį dėmesį.
„Tvarkydami asmens duomenis, laikomės duomenų apsaugos teisės aktų reikalavimų, įskaitant Bendrąjį duomenų apsaugos reglamentą. Naudojame įvairias saugumą užtikrinančias technologijas ir procedūras, siekdami apsaugoti asmeninę informaciją nuo neteisėtos prieigos, naudojimo ar atskleidimo. Tiekėjai, kurie yra pasitelkiami duomenų tvarkymui ir apsaugai, yra kruopščiai atrenkami ir mes iš jų reikalaujame naudoti tinkamas priemones, galinčias apsaugoti klientų konfidencialumą ir užtikrinti jų asmeninės informacijos saugumą“, – nurodė ji.
Be to, E.Dapkienė klientams rekomenduoja slaptažodžius keisti ne rečiau kaip kas 6 mėnesius.
„Rinkitės slaptažodį, kuris būtų unikalus, sudarytas ne mažiau kaip iš 8 simbolių, kuriuose būtų ir didžiosios, ir mažosios raidės, skaičiai ir specialieji simboliai“, – siūlė ji.
Ekspertas: toks scenarijus tikėtinas
Giedrius Meškauskas, IT saugumo ir infrastruktūros bendrovės „TeraSky Baltic“ kibernetinio saugumo paslaugų ir operacijų vadovas, 15min patvirtino, jog tokia situacija, apie kurią kalbą prekybos tinklas, yra labai tikėtina.
„Turėjome „CityBee“ atvejį, kino, lošimų... Krūva lietuviškų duomenų yra nutekėję. Pavyzdžiui, jei buvau „CityBee“ klientas, mano elektroninis paštas ir slaptažodis buvo toje duombazėje. Tikėtina, apie 60 proc. žmonių dar vis naudoja tą patį slaptažodį visose savo turimose paskyrose, tarp jų ir lojalumo programoje. Sukčiai turėdami tokias duombazes, bando visus turimus prisijungimo duomenis panaudoti“, – kalbėjo jis.
Tiesa, G.Meškauskas atkreipė dėmesį, kad tokiu būdu nusikaltėliai gali bandyti prisijungti tik vieną kartą prie kiekvienos turimos paskyros. Todėl sistema to negali vertinti kaip kenkėjiškos veiklos, nebent matoma, kad prie didelio kiekio skirtingų paskyrų bandoma prijungti iš vienos vietos. Tam turi būti specialiai paruošti sprendimai aptikti tokiems kenkėjiškiems veiksmas, nes ir toks indikatorius gali būti klaidingas.
„Taigi, ateina laikas, kai kažkuris slaptažodis atitinka, sukčiai prisijungia prie paskyros ir tuomet tiek mato visus galimus duomenis, tiek turi pilną jos valdymą“, – aiškino pašnekovas.
Ar „CityBee“ duomenų nutekėjimas galėjo prisidėti ir prie šio atvejo? G.Meškauskas įsitikinęs – taip.
„Net ir nutekėjus duomenims, ne visi žmonės puola keisti slaptažodžius, nes jų labai daug. Ir sužinojus, kad nutekėjo duomenys, tikrai iš pradžių neateis mintis pasikeisti lojalumo programos slaptažodžius. Pasikeisit „Facebook“, „Gmail“, bet kitur bus paliktas tas pats“, – įsitikinęs jis.
