Kaip jau buvo skelbta anksčiau, pirmadienio popietę viename programišių lankomame interneto forume buvo publikuota duomenų bazė su dalies „CityBee“ klientų duomenimis.
Įmonės teigimu, duomenys yra trejų metų senumo, ir vartotojai, tapę klientais vėliau nei 2018 vasario 22 d., nenukentėjo.
Kaip kalbėjo K.Kaikaris, įmonė labai apgailestauja dėl incidento ir šiuo metu labai artimai bendradarbiauja su policija bei kibernetinio saugumo ekspertais – ir aiškinasi aplinkybes, vietą, laiką bei galimybę sumažinti pasekmes, kurios gali būti susijusios su asmens duomenų vagyste.
„Labai apgailestaujame [dėl incidento], ir asmeniškai taip pat esu nukentėjęs, mano artimieji, draugai, bičiuliai – todėl labai suprantu tą nesaugumo jausmą, kurį patiria dalis mūsų klientų“, – kalbėjo „CityBee“ vadovas. – Ir šiuo metu mūsų prioritetas yra mūsų klientai, todėl įkūrėme karštąją liniją, kur nukentėjusieji gali kreiptis ir sužinoti jiems reikiamą informaciją“.
Paklaustas, kokie duomenys nutekėjo, K.Kaikaris sakė, kad pirmadienį įmonė gavo informaciją, jog interneto programišių tarptautiniame portale yra patalpinta informacija apie įmonės klientų duomenis.
„Vakar tie duomenys buvo vienokie, o šiąnakt buvo papildyti“ – sakė „CityBee“ vadovas. Jo teigimu, iš pradžių buvo buvo paskelbta dalies klientų vardai, pavardės ir elektroninio pašto adresai bei asmens kodai ir užkoduoti slaptažodžiai.
Naktį iš pirmadienio į antradienį duomenys buvo papildyti įmonės klientų adresais, suvestais registruojantis, telefono numeriais – bet nėra duomenų apie mokėjimo kortelių informacijos nutekėjimą (nes patys „CityBee“ tokių nekaupia ir nelaiko).
„Taip pat nėra nutekintos ir pačios vairuotojų teisės, mes tokio informacijos taip pat nekaupiame“, – tvirtino K.Kaikaris. Pasak jo, nutekinta tik dokumento (teisių) numeris ir galiojimo data.
„CityBee“ vadovas taip pat prašė nukentėjusių vartotojų nepanikuoti. „Ir kas yra svarbu bet kur elektroninėje erdvėje – keisti slaptažodį, – sakė K.Kaikaris. – Visiems klientams, kurie registravosi „CityBee“ iki 2018 vasario 22 d., būtina pasikeisti slaptažodį – nors nuo to laikotarpio iki dabar jis turėjo būti ne kartą pakeistas priverstine tvarka“. Buvo pateikta rekomendacija pasikeisti slaptažodžius ir kitose interneto paslaugų sistemose – nes žmonės dažnai naudoja tuos pačius slaptažodžius skirtingose vietose.
Jis taip pat minėjo, kad dabar „CityBee“ saugumo lygis yra gerokai pasikeitęs ir yra aukštesnio lygio, nei prieš trejus metus – pavyzdžiui, vartotojų slaptažodžiai yra saugomi visiškai kitaip.
Vadovo teigimu, patys programišiai su „CityBee“ nebuvo susisiekę, jokio šantažo ar pasiūlymų išpirkti vartotojų duomenis nebuvo.
Pradėtas ikiteisminis tyrimas
Ikiteisminį tyrimą dėl bendrovės „CityBee“ klientų pavogtų duomenų atlieka Lietuvos kriminalinės policijos biuras, glaudžiai bendradarbiaudamas su pačia įmone.
„Prašome žmonių nesusigundyti siūlymais įsigyti pagrobtus duomenis, o apie tokius siūlymus pranešti policijai per portalą epolicija.lt, – teigiama policijos pranešime. – Taip pat prašome nesidalinti ir neplatinti pavogtų duomenų ar nuorodų, kur juos galima įsigyti“.
Ikiteisminis tyrimas pradėtas pagal LR Baudžiamojo kodekso 198 str. 1 d. ir 198 (1) str. 1 d.:
198 straipsnis. Neteisėtas elektroninių duomenų perėmimas ir panaudojimas.
1. Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė ar kitaip panaudojo neviešus elektroninius duomenis, baudžiamas bauda arba laisvės atėmimu iki ketverių metų.
2. Tas, kas neteisėtai stebėjo, fiksavo, perėmė, įgijo, laikė, pasisavino, paskleidė ar kitaip panaudojo strateginę reikšmę nacionaliniam saugumui arba didelę reikšmę valstybės valdymui, ūkiui ar finansų sistemai turinčius neviešus elektroninius duomenis, baudžiamas laisvės atėmimu iki šešerių metų.
3. Už šiame straipsnyje numatytas veikas atsako ir juridinis asmuo.
198 (1) straipsnis. Neteisėtas prisijungimas prie informacinės sistemos.
1. Tas, kas neteisėtai prisijungė prie informacinės sistemos ar jos dalies pažeisdamas informacinės sistemos apsaugos priemones, baudžiamas viešaisiais darbais arba bauda, arba areštu, arba laisvės atėmimu iki dvejų metų.
2. Tas, kas neteisėtai prisijungė prie strateginę reikšmę nacionaliniam saugumui ar didelę reikšmę valstybės valdymui, ūkiui ar finansų sistemai turinčios informacinės sistemos ar jos dalies, baudžiamas bauda arba areštu, arba laisvės atėmimu iki trejų metų.
3. Už šiame straipsnyje numatytas veikas atsako ir juridinis asmuo.