Dėl to tiek įmonė, tiek atsakingos institucijos pradėjo tyrimą, praneša BNS.
„Netrukus po vidurnakčio kibernetinio saugumo ir nuolatinės stebėsenos centras užfiksavo plataus masto kibernetinę ataką iš užsienio valstybės“, – 15min komentavo Narimantas Bloznelis, „BankingLab“ vadovas.
Jo teigimu, paslaugos vėl teikiamos nuo pirmadienio ryto.
Atakos metu nutekinti kelių šimtų fizinių asmenų duomenys. „Galime patikinti, kad tarp jų nėra specialios kategorijos asmens duomenų kaip numato LR asmens duomenų apsaugos įstatymas. Taip pat norime pabrėžti, kad klientų pinigai yra saugūs ir šios atakos metu piktavaliai prieigos prie jų negavo“, – teigė vadovas.
N.Bloznelis taip pat pabrėžė, kad visi klientai, kurių duomenys buvo paveikti šio saugumo incidento metu, apie situaciją yra informuoti.
Pagrindiniai „BankingLab“ klientai yra tokios kompanijos kaip „Bankera“, „Vialet“, „Connect Pay“, „Simplex“, „PayRay bank”, „Perlas Finance“, „Mano Bankas“, „SH Financial“ ir kiti, anksčiau pranešime spaudai rašė bendrovė.
Pasak „BankingLab“, atakos metu įsilaužėliai spėjo paviešinti kelių fizinių ir juridinių asmenų duomenis. Įmonės teigimu, klientų pinigai saugūs, o paveikti klientai informuoti.
Siekiant užkirsti kelią galimoms atakoms ateityje, įmonė laikinai apribojo mokėjimo, elektronines bei mobilias bankines ir kitas paslaugas, taip pat įdiegė papildomas priemones, sustiprino kibernetinio saugumo parengtį.
„Krašto apsaugos ministerija informuoja, kad NKSC informaciją iš bendrovės „BankingLab“ apie patirtą kibernetinį incidentą gavo rugsėjo 24 d. ir teikia konsultacijas tyrimą atliekantiems bendrovės atstovams“, – 15min patvirtino NKSC.
Apie kibernetinę ataką taip pat informuota policija, Duomenų apsaugos inspekcija ir kitos atsakingos institucijos.
„Su „BankingLab“ susijusios fintech įmonės taip pat informavo atitinkamas institucijas ir savo klientus apie sutrikimus, kaip to reikalauja įstatymai bei vidinės tvarkos. Mūsų žiniomis, imtasi visų priemonių, kad būtų užkirstas kelias duomenų nutekėjimui“, – teigė „Fintech Hub LT“ vadovė Vaiva Amulė.
Duomenų paketas – programišių svetainėje
Nutekintas duomenų rinkinys jau pasirodė programišių svetainėje „Breached.to“.
„BankingLab“ yra trijų įmonių platforma, skirta virtualių valiutų keityklų ir bankų valiutos operacijoms atlikti, tarp klientų yra „Simplex“, „Vialet“. Neseniai gavome visus „Bankinglab“ serverio leidimus ir perėmėme visų vartotojų duomenis, įskaitant kiekvieno vartotojo pavedimus, identifikavimo informaciją. Dabar aš pasidalinsiu duomenimis ir raktu nuo „pam360“ slaptažodžių valdymo sistemos, naudotos „BankingLab“, čia yra vidinių paslaugų SSH raktas, slaptažodžiai nuo įvairių sistemų, serverių, ir t.t. Mėgaukitės“, – serveryje rašė duomenis įkėlęs asmuo.
N.Bloznelio teigimu, patalpintų duomenų autentiškumas ir kilmė šiuo metu yra tiriama kartu su teisėsaugos institucijomis, bet „jau dabar aišku, ir norime įspėti visuomenę, kad tie duomenų rinkiniai, kurie buvo publikuoti nurodytoje svetainėje, yra užkrėsti kenksminga programine įranga.“
15min direktorius teigė, kad ataką organizavo ir vykdo gerai organizuoti programišiai, o kompanija jau dabar yra surinkusi pakankamai duomenų galimam nusikaltėlių baudžiamajam persekiojimui
„Daugiau detalesnės informacijos pateikti negalime“, – teigė N.Bloznelis.
Į nutekintų duomenų paketą galėjo patekti ir „Perlas finance“ klientų duomenys, tačiau to patikrinti kol kas neįmanoma.
Kęstutis Gataveckas, bendrovės „Perlas finance“ vadovas15min teigė, kad šiuo metu nėra aišku, ar jų klientų duomenys buvo nutekinti, tačiau sužinojus apie kibernetinį incidentą buvo imtasi visų priemonių, skirtų apsaugoti „Perlas finance“ klientų sąskaitas.
„Visos piniginės klientų lėšos yra saugios, paslaugos teikiamos kaip įprasta. Šiuo metu vykdomas tyrimas, kurio išvadų laukiame iš paslaugų teikėjos „Banking Lab“. Nuoširdžiai apgailestaujame dėl susiklosčiusios situacijos ir darome viską, kad išsiaiškintume incidento priežastis, bendradarbiaujame su atsakingomis institucijomis. Gavę informaciją nedelsiant informuosime visus klientus, kurių duomenys galėjo tapti prieinami kibernetiniams nusikaltėliams“, – teigė jis.
Tuo tarpu „Cybernews“ tyrimų komanda ištyrė paskelbtą nutekintą informaciją ir paaiškėjo, kad tai yra SQL duomenų bazės išrašas ir pagrindinis PAM360 slaptažodžių valdymo sistemos, esančios bankinglab.com viduje, raktas. SQL paprastai naudojama programuojant ir valdant duomenis, o kibernetiniai nusikaltėliai ją gali išnaudoti kaip atakos vektorių.
PAM (angl. Privileged Access Management) yra pažangi slaptažodžių tvarkyklė įmonėms – įgaliojimų suteikimo, autentiškumo patvirtinimo ir prieigos kontrolės sistema. Kaip skelbia „Cybernews“, „BankingLab“ naudojo PAM360 – „Zoho ManageEngine“ produktą.
„Grėsmę keliantys veikėjai, pateikę įrodymų, kad jiems pavyko gauti prieigą prie duomenų bazės, potencialiai galėjo perimti visas klientų paskyras arba net sukurti savo paskyrą, kad galėtų toliau suktis ir kėsintis į klientų įgaliojimus“, – sakė Mantas Sasnauskas, „Cybernews“ tyrimų vadovas.
Jų teigimu, programišiai viešai internete patalpino duomenų bazių kopijas, slaptažodžius nuo sistemų
N.Bloznelis atstsakė patvirtinti, ar „BankingLab“ naudoja „Zoho ManageEngine“ produktą.
„Galime tik patvirtinti, kad patirta ataka buvo sudėtinga, didelio masto, akivaizdu, kad jai buvo ilgą laiką ir skirtingais būdais ruoštasi. Visos atakos yra gerokai kompleksiškesnės, tai nėra apie vieno produkto pažeidžiamumą. Viskas yra daug sudėtingiau, bet, savaime suprantama, kad pasakoti apie tyrimo informaciją šiame etape negalime“, – teigė jis.
2021 m. keturios Lietuvos fintech įmonės – „Baltic amber solutions“, „GIRO sistema“, „Mokėjimų vizija“ ir „AutoKYC“ – susijungė po vienu pavadinimu „BankingLab“.
