Tokį galimą scenarijų piešia trečiadienio incidentas – svetainės Bilietai.lt duomenų pavyzdžių nutekinimas, kuriuo, nutekintojo teigimu, norėta parodyti saugumo spragos egzistavimą. Duomenų, kurie paties nutekintojo teigimu, kaip jis nurodė portalui Telefonai.eu, apima ne tik įsigytus bilietus, kuriuos įmanoma perparduoti, bet ir asmeninius vartotojų duomenis.
Nutekintojo teigimu, tai suteikia galimybę perpardavinėti vartotojų jau įsigytus bilietus.
Portalas Lrytas.lt susisiekė su asmeniu, kuris skelbiasi turįs prieigą prie Bilietai.lt varotojų informacijos, bet šis plačiau pakomentuoti atsisakė – tik nurodė, kad „už tam tikrą atlygį galėtų pasidalinti viskuo, ką pavyko nuveikti“.
Vėliau jis portalui patikslino, kad neturi tikslo pardavinėti vartotojų informacijos. „Mano pateikto pranešimo, kurį [jau] ištrynė, tikslas buvo surasti žmogų, kuriam galėčiau perduoti visus įrankius ir žinias norint ir toliau naudotis saugumo spraga“, – portalui Lrytas.lt nurodė duomenų pavyzdžius pateikęs asmuo.
Paklaustas, kiek žmonių jo vertinimu galėtų nukentėti dėl šios saugumo spragos, pašnekovas nurodė, kad tai sunku įvertinti, kadangi tai yra bendrinė sistema jungianti keturių šalių platformas. „Visas prieš tai įvardintas bilietų platinimo platformas jungia bendra sistema, o jas valdo AS Piletilevi Group“, – teigė anonimas.
Lrytas.lt susipažino su kai kuriais nutekintų duomenų pavyzdžiais ir susisiekė su vienu iš asmenų, kuris patvirtino, kad pavyzdyje pateikiami duomenys atitinka realybę: p. Genadijus L. (tikroji pavardė redakcijai žinoma) patvirtino, kad jis pastarąjį mėnesį įvairiomis datomis pirko bilietus iš Bilietai.lt – tad galima patvirtinti, kad bent jau dalis nutekintų duomenų yra autentiški.
Ketvirtadienio rytą su Lrytas.lt taip pat susisiekė ir Nacionalinio bilietų platintojo (Bilietai.lt) direktorius Ramūnas Šaučikovas. Jis nurodė, kad Bilietai.lt gavo informaciją apie nutekinimą ir perdavė ją IT ir duomenų centrui Estijoje, nes būtent ten yra įmonės centras. Direktoriaus teigimu, estai specialistai peržvelgė informaciją ir R.Šaučikovui patvirtino, kad prieiti prie vartotojų duomenų jokios galimybės nėra.
„Klientų duomenys ir pirkiniai yra saugūs, ir jiems nieko daryti nereikia, – sakė R.Šaučikovas. – Be to, tą informaciją estai atidavė savo duomenų apsaugos institucijai. Bet esminis dalykas – jokių skylių nėra ir pirkiniai yra saugūs“.
Paprašytas patikslinti, ar Bilietai.lt nepranešė apie incidentą Lietuvos Valstybinei Duomenų apsaugos inspekcijai, R.Šaučikovas nurodė, kad tai nebuvo padaryta, nes įmonės duomenų ir IT centras yra Estijoje, ir pagal įmonių grupės duomenų apsaugos politiką, vadovaujanti institucija yra Estijoje.
Paklaustas dėl atvejo, kai vienas vartotojas jau patvirtino Lrytas.lt, kad tarp paskelbtų duomenų pavyzdžių tikrai yra jo pirkimų duomenys, R.Šaučikovas nurodė, kad jei tai pasitvirtins ir bus ratas žmonių, žinoma, įmonė į juos kreipsis.
„Bet šiuo metu prieiti prie duomenų galimybės nėra“, – teigė lietuviškosios įmonės direktorius.
Tačiau Lrytas.lt atkreipia dėmesį, kad nutekintų duomenų pavyzdyje naujausias vartotojo bilietų pirkimas datuojamas šių metų kovo 29 diena, trečiadieniu, 16 val. 36 min. – likus daugmaž valandai iki pirmojo pranešimo apie duomenų nutekinimą portale Telefonai.eu.
Portalui Lrytas.lt Genadijus L. patvirtino, kad jis tuo metu tikrai įsigijo bilietą į Klaipėdos dramos teatro spektaklį.
Ketvirtadienio vidurdienį su portalu susisiekęs duomenų pavyzdžius nutekinęs asmuo patikslino, kad trečiadienį po paskelbto įrašo jis tiesiog pateikė atsitiktinio tuo metu pirkusio žmogaus profilį.
„Jeigu netyčia bendraujate su tuo žmogumi, tai galite jam pranešti, kad jo bilietai yra saugūs, nors jo profilis ir buvo paviešintas su bilietų kodais. Be specialaus rakto niekas negalės jų peržiūrėti. Ačiū!“ , – portalui Lrytas.lt pranešė duomenų pavyzdžius nutekinęs anonimas.
Portalai ir Lrytas.lt ir Telefonai.eu ir toliau tiria šį atvejį, tad atsiradus naujų žinių informacija bus papildyta.