Tai gali paliesti ne vieną valstybę?
Anksčiau rašėme, kad „Creditinfo“ Čekijoje patyrė milžinišką kibernetinę ataką – esą pavogta daugiau nei 2,3 terabaito duomenų, o grupuotė „Payoutsking“ prašo išpirkos. Pasibaigus laikmačiui, „Creditinfo“ nutekėjimo failai buvo paviešinti. „EcomWall“ atliko paviešintų duomenų analizę.
Anot „EcomWall“ direktoriaus Tomo Redecko, įmonė aptiko konfigūracinius failus su tikromis prisijungimo prieigomis.
„Jų turinys, tai SQL prisijungimai (su vartotojo vardais ir slaptažodžiais), OAuth2 slapti raktai iš SSO sistemų, SMTP el. pašto siuntimo duomenys, Service Bus raktais paremta vidinė komunikacija tarp sistemų, maršruto taisyklės ir net debuginimo informacija. Dalis šių failų aiškiai susiję su creditinfo.lt domenu ir Lietuvoje naudojama CBS (Credit Bureau System) sistema“, – 15min teigė jis.
Nepaisant to, klientų jautrių duomenų iš Lietuvos šiuose failuose „EcomWall“ neaptiko. Tačiau T.Redeckas įspėja – jeigu šios prieigos yra pernaudojamos tarp sistemų ar jeigu jos nebuvo pakeistos po įsilaužimo – tai atveria kelią tiesioginei prieigai prie duomenų, sistemų logikos ir vidaus infrastruktūros.
„Tai nėra tik duomenų nutekėjimo atvejis. Tai infrastruktūros pažeidžiamumas, galintis paveikti ne tik vieną valstybę. Jei šios prieigos nėra nedelsiant panaikintos ir sistemų architektūra neperžiūrima, pasekmės gali būti kur kas rimtesnės nei 2.3TB nutekėjusių failų dydis“, – 15min sakė „EcomWall“ direktorius.
„Creditinfo“ ramina – klientų Lietuvoje duomenys išliko saugūs
Vis dėlto „Creditinfo“ padalinio Lietuvoje atstovai ramina, kad „Creditinfo Lietuva“ sistemos nebuvo pažeistos ir klientų duomenys Lietuvoje yra visiškai saugūs. O reaguodami į šį įvykį, papildomai „Creditinfo“ sustiprino prevencines priemones Lietuvoje.
„Atlikome išsamų ugniasienių ir jų konfigūracijų patikrinimą, dar kartą atnaujinome prieigų slaptažodžius, peržiūrėjome sistemų žurnalus (logs), įgyvendinome papildomus serverių bei programinės įrangos atnaujinimus ir apribojome nereikalingą nuotolinę prieigą“, – atsiųstame komentare teigė „Creditinfo Lietuva“ vadovas Jonas Lukošius.
Anot jo, Lietuvos serveriai ir infrastruktūra yra įdiegti visiškai atskiruose duomenų centruose, todėl neturi jokių sąsajų su incidentu Čekijoje.
Rizika vis tiek išlieka
Nors situacija Lietuvoje atrodo suvaldyta, kibernetinio saugumo ekspertas atkreipia dėmesį, kad nutekėjus net techninei prieigos informacijai – tokiems duomenims kaip vartotojų vardai, slaptažodžiai ar API raktai – rizika vis tiek išlieka, ypač jei tokios prieigos yra pernaudojamos tarp padalinių ar skirtingų aplinkų.
„Net jei Lietuvos infrastruktūra nebuvo tiesiogiai pažeista, organizacijoms būtina vertinti visos sistemos saugumą kompleksiškai – ne tik keisti slaptažodžius, bet ir analizuoti audito žurnalus, izoliuoti testines aplinkas bei įvertinti, ar galimos sąsajos tarp padalinių galėjo sukurti netiesioginių grėsmių“, – įžvalgomis dalijosi kibernetinio saugumo inžinierius ir ESET ekspertas Lukas Apynis.
Jo teigimu, jei incidentas nebuvo pastebėtas iš karto, yra tikimybė, kad programišiai galėjo naudoti įgytą informaciją bandydami pasiekti ir kitų šalių padalinius ar susijusias infrastruktūras, ypač jei tarp jų egzistavo techninės sąsajos ar bendros prieigos.
„Paviešinta prieigos informacija, net jei ji atrodo fragmentiška ar „nekalta“, patenka į kibernetinių nusikaltėlių rankas ir gali būti panaudota tyrinėjimams vidinių sistemų. Iš patirties matome, kad tokia informacija naudojama tobulinant ir vykdant tolimesnes atakas“, – pridūrė jis.
