Blogiau nei atrodė iš pradžių: pardavinėjama dar daugiau „CityBee“ klientų duomenų

2021 m. vasario 16 d. 12:17
Kaip jau rašė lrytas.lt, pirmadienio popietę viename viešame interneto forume buvo publikuota daugiau nei 110 000 „CityBee“ vartotojų duomenų bazė, kurioje saugomi susieti vartotojų vardai, pavardės, elektroninio pašto adresai, paskyros slaptažodžiai ir asmens kodai.
Daugiau nuotraukų (4)
Kaip vėliau paaiškino pati įmonė, tai yra trejų metų senumo duomenų bazė, kurioje laikyti senesni nei 2018 vasario 22 dienos duomenys apie klientus (taigi, vartotojai, kurie tapo „CityBee“ klientais vėliau nei ši data, nuo šios duomenų vagystės nenukentėjo).
„CityBee“ teigimu, kaip įvyko ši vagystė, nėra aišku, bet bendrovė pirmadienio vakarą teigė ruošusi informaciją visoms suinteresuotoms institucijoms – tarp jų ir Valstybinei duomenų apsaugos inspekcijai.
Įmonės išplatintame pranešime teigiama, kad „klientų naudojami slaptažodžiai yra kruopščiai saugomi ir nebuvo paviešinti“. Tačiau vis dėlto tai nėra tiesa.
Nes kaip netrukus buvo pastebėta daugelio IT specialistų, šioje duomenų bazėje slaptažodžiai buvo užšifruoti pakankamai žemo saugumo lygio algoritmu – sha-1 (angl. Secure Hash Algorithm 1), nenaudojant vadinamosios „druskos“ (angl. salt) – papildomų duomenų, kuris padidina duomenų šifro saugumą. Tokiu lygiu užšifruotus slaptažodžius iššifruoti gali trukti tik kelias minutes.
O antradienio rytą paaiškėjo ir daugiau blogų žinių – tame pačiame forume pardavinėjama ir pilnesnė duomenų bazės versija, kurioje jau yra ir gyventojų adresai, ir jų vairuotojo pažymėjimų duomenys, ir telefonai.
Gera žinia ta, kad mokėjimų informacijos (kortelių duomenų ir pan.) tarp nutekintų duomenų nėra.
„Kortelių duomenų ten nėra, dėl šito galima atsipalaiduoti, – teigia IT saugumo ekspertas Marius Pareščius. – Nors pateiktose duomenų bazės iliustracijoje matyti lentelė „kortelės“, iš tiesų ten visai kiti duomenys: skaitmeninis „žetonas“, kuris naudojamas tik vartotojo susiejimui su bankinės institucijos duomenų baze“. Anot M.Pareščiaus, vien šio žetono išviešinimas nėra pavojingas, nes pati kortelių informacija saugoma ne „CityBee“, o bankinėje institucijoje.
„Bet kas labiausiai skausminga vartotojams, tai kad platinamas namų adresas, telefono numeris. Ir kas man labai nepatinka – matyti, kad duomenų bazėje buvo saugomi asmens dokumento, reikalingo vairavimui – šiuo atveju vairuotojo teisių – duomenys. Ar ten jų skaičiukai, numeriukai yra – aš nežinau, nesu matęs tų duomenų – bet manoma, kad jie vis dėlto ten yra. O tai baisiausia yra dėl to, kad turint tokio dokumento duomenis, jau galima daryti kriminalinius nusikaltimus: to asmens vardu imti paskolas, atidarinėti bankines sąskaitas, kažkur atsiskaityti už kažką, palikti dokumentą užstatu ir taip toliau“, – aiškina specialistas.
Kiek matyti iš vienosios pavogtosios duomenų bazės ekrano nuotraukos, bent jau asmens dokumento numeriai į pardavinėjąmą pavogtą duomenų bazę yra įtraukti.
„Tačiau man asmeniškai skausmingiausia tai, kad tokius duomenis pamačius, esu beveik 100 procentų tikras, kad aukščiausi Lietuvos politiniai pareigūnai taip pat naudojosi „CityBee“ paslaugomis, praeityje. Išvadas padarykite patys“, – šypteli M.Pareščius.
Paklausus, kokiu būdu, jo nuomone, nutekėjo ši duomenų bazė, IT saugumo specialistas teigia manantis, kad iš to, ką jis mato, duomenys, panašu, yra nutekėję iš rezervinių kopijų, kurias greičiausiai darė svetainės programuotojai. „Klausimas, kuriuo metu tai nutekėjo – ar kai buvo padaryta kopija, ir po to ji buvo ilgai saugoma – ar nutekėjo kažkada dabar“, – svarsto jis.
Paklaustas, ar kas žinoma apie asmenį, kuris dabar pardavinėja dalies Lietuvos piliečių asmeninius duomenis, M.Pareščius sako, kad apie programišių žinoma tik tai, kad jis aktyviai užsiima prekyba tokiomis pavogtomis duomenų bazėmis. „Tam forume matyti, kad jis daug jų pardavinėja, iš visokių valstybių. Tad neaišku, ar jis iš kažkur nupirkęs, ar gavęs, ar pats įsilaužė“, – patikslina IT specialistas. Pasak jo galima pasakyti tik tiek, kad pardavėjas komunikuoja puikia anglų kalba.
Pradėjus pardavinėti nutekintą duomenų bazę, už ją buvo prašoma 5000 JAV dolerių (atsiskaitant bitkoinų kriptovaliuta), bet dabar kaina nukritusi iki 1000 JAV dol.
Paklaustas, ką visa tai reiškia „CityBee“ klientams, M.Pareščius sako, kad visų pirma įmonė turėtų komunikuoti su nukentėjusiais klientais. Antra, reikėtų edukuoti, ką daryti toliau. „Ir iš tos edukacijos reikėtų pabrėžti, kad NEGALIMA naudoti to paties slaptažodžio dviejose vietose, kad jis turi būti bent 12 simbolių, kad jį turi sudaryti skaičiai, raidės ir specialieji simboliai“, – nurodo specialistas.
„Tačiau jei vis dėlto yra nutekėję asmens dokumentai – vairavimo teisės, pasai ar vartoto ID kortelės – privaloma tvarka šiuos dokumentus reikėtų pasikeisti“, – tvirtina M.Pareščius.
Socialiniame tinkle  „Facebook“ susikūrė grupė „Nukentėjusieji nuo Citybee“. Grupėje skelbiama, kad "grupės vienintelis tikslas - susiburti žmones, kurie nukentėjo dėl asmens duomenų nutekinimo bei teikti grupinį ieškinį“.
Grupėje jau pradėta ir apklausa, ar vartotojai prisidėtų prie grupinio ieškinio finansiškai, ir jei taip, kokią sumą galėtų skirti teisininkui.
Antradienį antrąjį pranešimą spaudai išplatino ir „CityBee“:
Pirmadienio popietę paaiškėjo, kad kibernetiniai nusikaltėliai forume paskelbė apie 110 tūkst. Lietuvoje registruotų „CityBee“ klientų informaciją. Duomenys, kurie buvo įkelti viename iš kibernetinių įsilaužėlių pamėgtų forumų, yra trejų metų senumo. Naktį iš vasario 15-os į 16-ą d. paaiškėjo nauji faktai, susiję su duomenų vagyste.
Visa su įvykiu susijusi informacija yra pateikta atsakingoms institucijoms. Siekiant apsaugoti klientų interesus ir išaiškinti nusikaltimą, bendradarbiaujama su Lietuvos policija.
Naktį iš vasario 15-os į 16-ą d. kibernetiniai nusikaltėliai, užsienyje registruotame forume, paskelbė, kad turi ne tik dalies „CityBee“ klientų vardus, pavardes ir asmens kodus, kaip buvo skelbta anksčiau, bet taip pat ir telefonų numerius, elektroninio pašto adresus, gyvenamosios vietos adresus, vairuotojų pažymėjimo numerius bei užkoduotus slaptažodžius.
Pavogtų „CityBee“ klientų duomenų paskelbimas nepadarys jokios įtakos „CityBee“ klientų finansinių paslaugų saugumui, nes bendrovė nekaupia jautrios informacijos susijusios su klientų mokėjimo būdais.
Paaiškėjus naujiems faktams, „CityBee“ savo klientus, kurie bendrovės sistemoje registravosi iki 2018 m. vasario 22 d., ragina pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
„CityBee“ taip pat kuria specialią karštąją liniją. Visi, kurie bendrovės sistemoje registravosi iki 2018 m. vasario 22 d., rūpimus klausimus užduoti jau gali el. paštu info@citybee.lt. Netrukus taip pat bus sukurta ir karštoji telefono linija.
Šiuo metu „CityBee“ aiškinasi, kokiu būdu galėjo būti pavogti trejų metų senumo „CityBee“ klientų duomenys.
Papildomą informaciją, susijusią su duomenų vagyste, „CityBee“ pateks vos tik išaiškės nauji faktai.
duomenų vagystė^InstantCityBee
Rodyti daugiau žymių

UAB „Lrytas“,
A. Goštauto g. 12A, LT-01108, Vilnius.

Įm. kodas: 300781534
Įregistruota LR įmonių registre, registro tvarkytojas:
Valstybės įmonė Registrų centras

lrytas.lt redakcija news@lrytas.lt
Pranešimai apie techninius nesklandumus pagalba@lrytas.lt

Atsisiųskite mobiliąją lrytas.lt programėlę

Apple App StoreGoogle Play Store

Sekite mus:

Visos teisės saugomos. © 2024 UAB „Lrytas“. Kopijuoti, dauginti, platinti galima tik gavus raštišką UAB „Lrytas“ sutikimą.