Internete nutekinta „CityBee“ vartotojų duomenų bazė: vardai, pavardės, asmens kodai
Adomas Rutkauskas
2021-02-15 18:23Internetiniame forume paskelbta nutekinta laikinosios automobilių nuomos bendrovės „CityBee“ klientų duomenų bazė.
Iš registracijos reikalaujančio, bet viešai prieinamamo interneto forumo kiekvienas internautas gali parsisiųsti nešifruotą duomenų bazę, kurioje saugomi susieti vartotojų vardai ir pavardės, elektroninio pašto adresai ir asmens kodai.
Keli „CityBee“ klientai (vardai ir pavardės redakcijai žinomi) portalui lrytas.lt jau patvirtino, kad šioje duomenų bazėje nutekinti duomenys yra tikslūs.
Tačiau sprendžiant pagal pirminius duomenis, tai arba nepilna duomenų bazė, arba ne naujausia duomenų bazės versija (galimai senesnė nei 2019 m.) – bent jau kiek galima spręsti pagal tai, kad joje nėra bent kelių vartotojų, kurie „CityBee“ klientais tapo 2019 m. ir vėliau.
Iš viso duomenų bazėje saugomi įrašai apie kiek daugiau nei 110 tūkst. vartotojų.
Vienas iš „CityBee“ klientų (vardas ir pavardė redakcijai žinomas) pasidalino pastebėjimu, kad praėjusią savaitę programėlė paprašė susikurti PIN kodą – ko, vartotojo teigimu, iki tol nebuvo prašoma.
Apie 19 val. portalas lrytas.lt gavo „CityBee“ pranešimą spaudai:
Šiandienos popietę paaiškėjo, kad kibernetiniai nusikaltėliai forume paskelbė dalies Lietuvoje registruotų „CityBee“ klientų informaciją. Duomenys, kurie buvo įkelti viename iš kibernetinių įsilaužėlių pamėgtų forumų, yra trejų metų senumo.
Informacija apie galimą duomenų vagystę buvo nustatyta operatyviai. Kibernetinio saugumo specialistai, vykdantys nuolatinę stebėseną, nedelsdami informavo bendrovę apie galimą nusikaltimą.
„Iš to, kas paskelbta ir ką nustatė kibernetinio saugumo ekspertai, matome, kad ribotam asmenų ratui tapo prieinami duomenys tų klientų, kurie „CityBee“ sistemoje užsiregistravo iki 2018 vasario 22 d. Paskelbti jų vardai, pavardės ir asmens kodai“, – sakė „CityBee“ vadovas Kristijonas Kaikaris.
Gavusi informaciją apie neteisėtą duomenų paviešinimą, su kuriuo, įtariama, yra susiję ir tretieji asmenys, „CityBee“ informavo Lietuvos policiją. Apie incidentą taip pat pranešama ir bendrovės klientams.
Įmonė taip pat deda visas pastangas, kad paskelbti duomenys būtų pašalinti iš užsienyje registruoto forumo, kuriame jie buvo įkelti.
K.Kaikaris pabrėžė, kad šis neteisėtas klientų duomenų paskelbimas nepadarys jokios įtakos „CityBee“ klientų paskyrų ar jų finansinių paslaugų saugumui.
„Klientų naudojami slaptažodžiai yra kruopščiai saugomi ir nebuvo paviešinti, o nuo šių metų sausio 1 d. įdiegta papildoma „CityBee“ programėlės apsaugos funkcija „Passcode“ garantuoja aukščiausio lygio mūsų klientų paskyrų apsaugą“, – aiškino K. Kaikaris.
Jis taip pat akcentavo, kad nusikaltėliai neturi jokios galimybės prieiti prie „CityBee“ klientų finansinių paslaugų, mat bendrovė nekaupia jokios informacijos susijusios su klientų mokėjimo būdais.
Šiuo metu „CityBee“ aiškinasi, kokiu būdu galėjo būti pasisavinti seni „CityBee“ klientų duomenys. Bendrovė taip pat ruošia informacija visoms suinteresuotoms institucijoms – tarp jų ir Valstybinei duomenų apsaugos inspekcijai.
„CityBee“ planuoja artimiausiu metu pasidalinti ir kita svarbia informacija apie šį įvykį.
Kaip portalą lrytas.lt informavo K.Kaikaris, visus klientus, kurių duomenys pavogti, „CityBee“ informuos elektroniniu paštu.
"Klientams nieko daryti nereikia - paskyros nenukentėjo", - teigė įmonės vadovas.