Už kalbų apie mažą riziką „CityBee“ klientams – kitokia realybė: ekspertas paaiškino, kokios didelės bėdos gresia
„Lietuvos ryto“ televizijos laida „Nauja diena“
2021-02-17 19:28Lietuvoje garsiai skambantis „CityBee“ klientų duomenų paviešinimo skandalas nusidažė kitomis spalvomis.
Ne tik įmonei, bet net ir teisingumo ministrei raminant žmones ir pabrėžiant, kad nukentėti rizika – „maža“, į paviršių ėmė lįsti kitokią nuomonę peršančios detalės.
Su „CityBee“ ir tarnybų skelbiama nuomone nesutinka ir kibernetinio saugumo ekspertas, kuris įspėja – apie gerokai labiau nukentėjusius asmenis mes išgirsime labai greitai. Apie gerokai rimtesnę problemą nei kalbėta antradienį byloja ir „CityBee“ bandymai išsisukti nuo klausimų.
Portalui lrytas.lt dar trečiadienio rytą pabandžius susisiekti su įmonės vadovu, buvo paaiškinta, kad šiuo metu jis bendrauja su policijos pareigūnais ir pats perskambins. Kai nesulaukus skambučio dar kartą susisiekta su įmone, jos atstovė Pija Indriūnaitė teigė, kad žurnalistai klausimus vadovui gali bandyti siųsti elektroniniu paštu ir dar kartą patikino, kad vadovas tikrai netrukus susisieks pats bei pakomentuos situaciją.
Baigiantis darbo dienai, ne tik su pačiu K. Kaikariu, bet ir P. Indriūnaite telefonu susisiekti nepavyko.
Ugnies į žibalą įpylė ir viešai prabilęs programišius, kuris interviu portalui lrytas.lt pasakojo, kad situacijos duomenų vagyste nelaiko – esą „CityBee“ likimo valiai paliko duomenis ir jų visiškai neapsaugojo.
Tuo metu „CityBee“ klientai, kurių duomenys – telefono numeriai, vardai, pavardės, užkoduoti slaptažodžiai, elektroniai paštai, vairuotojo pažymėjimo numeriai, asmens kodai, galimai ir kreditinių kortelių kai kurie skaitmenys – buvo paviešinti, jau gauna įvairiausius skambučius iš užsienio, sulaukia pranešimų, kad iš įvairių vietų bandyta prisijungti prie jų „Facebook“ ar „Gmail“ paskyrų.
Kibernetinio saugumo ekspertas Marijus Pareščius „Lietuvos ryto“ televizijos laidos „Nauja diena“ vedėjui Ignui Grinevičiui tiesiai šviesiai pareiškė: „Turint išsamias instrukcijas ir galimybę mokytis per „Youtube“, rusiškas svetaines, kuriose yra aprašomos sukčių schemos, pirmųjų kregždučių sulauksime po savaitės ar dviejų.“
Ramiau jaustis galima nebent dėl mokėjimų kortelių
Gaisrą gesinti puolusi „CityBee“ per pastarąsias kelias dienas sulaukė gausybės kritikos ir kaltinimų esą paprasčiausiai užmiršusi serveryje pasirūpinti senesniais duomenimis. Programišius parsisiuntė anksčiau nei 2018 metų vasario 22 dieną prisiregistravusių „CityBee“ klientų duomenis.
„Labai apgailestaujame [dėl incidento], ir asmeniškai taip pat esu nukentėjęs, mano artimieji, draugai, bičiuliai – todėl labai suprantu tą nesaugumo jausmą, kurį patiria dalis mūsų klientų. Ir šiuo metu mūsų prioritetas yra mūsų klientai, todėl įkūrėme karštąją liniją, kur nukentėjusieji gali kreiptis ir sužinoti jiems reikiamą informaciją“, – dar antradienį kalbėjo „CityBee“ vadovas K.Kaikaris.
„CityBee“ buvo įpareigota per 72 valandas nuo incidento pradžios pateikti reikiamus duomenis institucijoms. Lietuvos bankas paskelbė, kad tikimybė, jog sukčiai galėtų pasinaudoti žmonių duomenimis įsigyjant prekes ar paslaugas, imant kreditus – maža.
Tą patį dar antradienį kalbėjo ir teisingumo ministrė Evelina Dobrovolska.
Kibernetinio saugumo ekspertas M.Pereščius taip pat ramina žmones, kad dėl kredito kortelių duomenų šie turėtų būti ramūs.
„Visi bijojo, kad nutekėjo kredito kortelių duomenys, tad bėgo į bankus jų blokuoti. Pagal mano turimą informaciją to daryti nereikia. Pats neblokavau kortelių ir neplanuoju to daryti. – „Naujai dienai“ sakė ekspertas. – Visi manė, kad duomenų bazėje buvo kredito kortelių duomenys, tačiau peržiūrėjau bazės struktūrą ir supratau, kad tokių duomenų ten nebuvo. Ten buvo veiklai vykdyti skirta informacija – nepilnas mokėjimų kortelės numeris, o tai – keturi paskutinieji simboliai. Vardas ir pavardė, kortelės galiojimo laikas. Nebuvo pilno skaičių rinkinio, kad būtų galima identifikuoti tą kortelę. Taip pat nebuvo CVV kodo, kuris naudojamas nurašant pinigus nuo kortelės. Be šių duomenų nuimti pinigų nuo kortelės neįmanoma.“
Grėsmes vardija iš savo patirties
Tačiau į skandalą patekę vartotojai ramūs išlikti negali. M.Pereščius pasakojo, kad tapti sukčių auka jie gali labai greitai. Programišiai gali paskelbtus duomenis naudoti labai įvairiai. Tuo yra įsitikinęs ir pats specialistas.
„Man tokių situacijų gyvenime yra buvę. Yra tekę aiškintis atvejį, kai mano vardu buvo plaunamas PVM. Mano vardu buvo registruotos interneto svetainės, kurios platino virusus, laužėsi į kitus serverius. Tie atvejai – sudėtingi. Ir tai sudėtinga ne tik užkardymo, bet ir savo reputacijos atstatymo klausimu. Kai kuriais atvejais tai kainuoja labai daug laiko ir pinigų“, – pasakojo M.Pereščius.
Pasak jo, kalbėti, kad rizika nukentėti dėl šios situacijos maža – negalima. Esą situacija gerokai sudėtingesnė nei daugelis pagalvoja, o dabar kiekvienas „CityBee“ vartotojas, kurio informacija buvo paviešinta, turėtų labai atidžiai stebėti savo elektroninio pašto, „Facebook“ ir kitų svetainių paskyras.
M.Pereščiaus duomenimis, „CityBee“ klientų informacija sudomina vis daugiau sukčių, kurie sutinka sumokėti iki tūkstančio eurų sumažėjusią kainą už visą duomenų paketą.
„Gali atsirasti problemos, kai duomenys bus pradėti naudoti kriminaliniams, ekonominiams nusikaltimams prieš pačius žmones, – pasakojo kibernetinio saugumo ekspertas. – Vienas paprasčiausių būdų – kvietimas investuoti ar jūsų paskyrų sukūrimas neaiškiose platformose, kai kurių finansinių operacijų darymas jūsų vardu. Manau, kad iš 110 tūkstančių atsiras keli procentai žmonių, kurie „sudalyvaus“ ir nukentės finansiškai. Reikia pasirūpinti, kad duomenimis nepasinaudotų tie, kurie padirbinėja dokumentus, daro kriminalinius nusikaltimus.“
Pats keisis vairuotojo pažymėjimą, bet visiems nerekomenduoja
„CityBee“ pabrėžė, kad įmonė nelaikė ir vairuotojo pažymėjimo duomenų – paviešinti buvo tik pažymėjimo numeris ir galiojimo data. Atrodo, kad vartotojai galėtų atsipūsti ir dėl šios situacijos, bet M.Pereščius tikina, kad daugelis nesusimąsto, ką tai reiškia.
„Nerekomenduoju to daryti masiškai, bet aš ruošiuosi pasikeisti vairuotojo teises, nes yra rizika, kad piktavaliai, turėdami identifikacijos numerius, galės kurti virtualias teises. Jas gali daryti su „Photoshop“, spausdindami ant plastiko, nes norės parodyti, kad turi fizinę kortelę. O taip jau galima daryti nusikaltimus. Rizika čia – tikrai didelė“, – kalbėjo M.Pereščius.
Ir jeigu čia suteikė erdvės ilgiau pamąstyti, jis siūlo primygtinai atlikti keletą žingsnių, tarp kurių – ne tik slaptažodžių keitimas.
„Visiems labai rekomenduoju užeiti į „Credit Info“ svetainę ir užsisakyti paslaugą, kuri neleistų paimti kreditą jūsų vardu. Tą patį padaryti ir Lietuvos banke. Jums šiek tiek mažiau skaudės galvą dėl grėsmės, kad paims kreditą“, – „Naujai dienai“ sakė M.Pereščius.
Įvardino, ką galima sužinoti
M.Pereščius kategoriškai nesutinka su viešojoje erdvėje paskldusiais teiginiais, kad nusikaltimų su žmonių informacija rizika – maža.
Pasak specialisto, šiais laikais nėra sudėtinga paskambinti svetimu telefono numeriu, o kai kuriose finansinių paslaugų institucijose tapatybė būtent tvirtinama pagal telefono numerį, gyvenamąją vietą, vardą, pavardę ir asmens kodą.
Visi šie duomenys buvo pavogti iš „CityBee“ duomenų bazės.
„Riziką turime. Nutekėję duomenys – asmens kodas ir identifikaciniai vairuotojo teisių duomenys – yra tie, kuriuos galima padaryti darant nusikaltimus. Jie bus panaudoti. Klausimas – kada“, – sakė M.Pereščius.
Pasak jo, bankai neleistų daryti pavedimų, tačiau pateikus tokią informaciją galima sužinoti svarbių duomenų apie sąskaitas.
„Yra finansinių institucijų, kur pasakę paskutinius banko kortelės skaičius jūs jau galite prisistatinėti kaip klientas. Tokių atvejų tikrai bus. Tam tikrais atvejais tai gali būti kritinė klaida, kuri ateityje turės įtakos jūsų finansams“, – sakė kibernetinio saugumo specialistas.
Programišius kaltina pačią įmonę
Antradienį savo versiją viename programišių mėgstamame forume išsakė ir pats „CityBee“ klientų duomenis pavogęs vaikinas.
„Pasinaudojęs savo sukurta skenavimo programa iš failo „ištraukiau“ direktorijas. Viena jų vadinosi „sql“. Ją patyrinėjus paaiškėjo, kad joje buvo vienas failas „CitybeeProduction.bacpac“, kuris buvo publikuotas 2018 metais. Failas neturėjo jokios apsaugos – tik imk ir siųskis, jis buvo atviras bet kuriam norinčiam“, – rašė slapyvardžiais „000“, „soap“ ir „soapceo“ prisistatantis asmuo.
Tą patį jis pakartojo ir trečiadienį, kai interviu lrytas.lt nuolat kaltino pačią „CityBee“ įmonę.
„Įsivaizduokite telefonų knygą, kurioje surašyti domenai – ir kurioje buvo pateikta informacija ir apie „CityBee“ domeną. Įrašas apie „CityBee“ nurodė jų talpyklos serverį – ir jis buvo atviras. Kiekvienas galėjo jame apsilankyti ir parsisiųsti viską, kas ten buvo. Duomenys tame serveryje gulėjo trejus metus“, – išskirtiniame interviu lrytas.lt portalui sakė programišius.
Jis tikino, kad net ir paaiškėjus pačiam duomenų vagystės faktui, nurodytoje direktorijoje duomenys išbuvo dar porą dienų.
Asmuo pasakojo, kad ieškojo atvirų prieigų prie atvirų talpyklų, ir aptiko talpyklą „citybeeproductionlt.blob.core.windows.net“.
Jis arba ji pabrėžė, kad taip skenuojant informaciją ir ją susirenkant, nereikia niekur įsilaužti.
„Tai, ką aš darau, nėra „įsilaužimai“ ar „neteisėta“ – nes visa tai viešai prieinama“, – tikino programišius.
„CityBee“ klientų duomenis paviešinęs ir už atlygį leidęs įsigyti asmuo netgi žėrė kaltinimus pačiai įmonei.
„Tam, kad tai būtų ištrinta iš talpyklos, prireikė dviejų dienų nuo tada, kai buvo padarytas šis nutekinimas. Kas žino, kiek laiko šis failas pragulėjo iki tol?, – rašė programišius. – „CityBee“ meluoja ir visa tai turėtų atskleisti, kaip didelėms įmonėms iš tiesų rūpi ne galutinis vartotojas, o pinigai. Turiu dar daug duomenų bazių ir atsarginių kopijų – tarp jų ir tikrai didelių kompanijų.“
Šiuos žodžius neigė „CityBee“ vadovas K.Kaikaris.
„Tie duomenys tikrai nebuvo padėti ant lėkštutės. Jis turėjo įrankius, turėjo įsilaužti, ką jis, beje, ir pats aprašė forume. Jis teigė, kad tai padarė lengvai, bet tai yra nusikaltimas, vagystė. Tai yra galimai net kelios nusikalstamos veikos, ne tik vagystė, bet ir duomenų paviešinimas“, – interviu BNS pabrėžė K. Kaikaris.
Trečiadienį „CityBee“ kompanija turėtų tarnyboms perduoti visą reikiamą informaciją, kurią būtina surinkti per 72 valandas. Tuomet turėtų pradėti aiškėti, kiek tiesos yra programišiaus žodžiuose.
Ekspertas pasigedo audito
Įmonės kaltę šioje situacijoje įžvelgė ir M.Pereščius. Pasak jo – „CityBee“ privalėjo vykdyti pakartotinį auditą.
„Pagrindinė problema – projekto valdymas įmonėje, tvarka, kuri buvo nurodyta programuotojams. Taip pat – kibernetinio saugumo audito stoka. Jie turėjo laikas nuo laiko daryti auditą, nes dirba su tokiu dideliu klientų skaičiumi. Mano žiniomis, toks auditas nebuvo vykdomas. Vykdant tokį auditą būtų atradę tą klaidą ir tuos „gulinčius“ neapsaugotus duomenis“, – pasakojo kibernetinio saugumo ekspertas.
Situacija jau domisi ir Lietuvos policija. Pasak M.Pereščiaus, reikėtų dėmesį atkreipti dėmesį ir į įmonės programuotojas, nes kyla klausimų, kam buvo sukurta kopija, kurią ir pavogė programišius.
„Iš kitos pusės nėra aišku, kas buvo tie programuotojai, kurie tvarkė sistemą ir padėjo ten duomenis. Kažkas padarė duomenų bazės kopiją, kad pasinaudotų ja ateityje. Programišius, rinkdamas informaciją, atrado vietą, kur buvo neapsaugoti duomenys. Tai – programuotojų procedūros, kurios nebuvo patikrintos. Dėl jų klaidų duomenys ir nutekėjo“, – „Naujai dienai“ sakė M.Pereščius.