Jis nurodė, kad jo tikslas – ne uždirbti iš pačių vartotojų duomenų, bet iš prieigos ir įrankių, leidžiančių juos pasiekti. Ketvirtadienį perpiet anonimas nurodė ir pageidaujamą tokios paslaugos kainą – 4000 eurų, ir jie turėtų būti sumokėti kriptovaliutomis.
Kaip jau portalas Lrytas.lt minėjo anksčiau, bendrovės „Nacionalinio bilietų platintojas“ (Bilietai.lt) direktorius Ramūnas Šaučikovas ryte susisiekė su portalu ir pranešė, kad informacija žinoma, bet įvertinus Estijos IT specialistams (motininė Bilietai.lt įmonė veikia Estijoje), buvo nurodyta, kad pateikiami duomenys yra seni, saugumo skylės nėra, o vartotojų duomenys saugūs.
Tačiau Lrytas.lt susisiekus su asmeniu, kurio bilietų pirkimo duomenys buvo paviešinti kaip atsitiktinis pavyzdys, šis patvirtino, kad paros senumo ekrano nuotraukoje matomi duomenys yra teisingi – tai yra, jis iš tiesų atliko nutekintame dokumente matomą pirkimą.
Ketvirtadienį apie duomenų spragą paskelbęs asmuo portalui Lrytas.lt taip pat pranešė, kad nors šio asmens pirkimų istorija buvo paviešinta, jo realūs bilietai yra saugūs, nes be specialaus rakto pamatyt pačių bilietų niekas negali.
Taip pat, kiek galima spręsti, nuo daugmaž ketvirtadienio vidurdienio Bilietai.lt savo sistemose atliko kai kuriuos pakeitimus, nes nutekintos nuorodos į įmonės duomenis nebeveikia.
IT saugumo specialisto versija
Portalas Lrytas.lt susisiekė su „ESET Lietuva“ kibernetinio saugumo inžinieriumi Ramūnu Liubertu ir paklausė, kas, jo nuomone, čia iš tiesų nutiko.
„Pagal dabar galiojančius teisės aktus, saugumo spragą aptikęs asmuo turi pranešti apie ją Nacionaliniam kibernetinio saugumo centrui (NKSC). Sprendžiant iš to asmens pasisakymo, kad jis spragą aptiko prieš metus ar dvejus, greičiausiai jis norėjo už savo atradimą atlygio. NKSC atlygio už tokią informaciją neteikia, tad mano manymu, asmuo galimai kreipėsi į pačią įmonę siūlydamasis už sutartą sumą atskleisti pažeidimą“, – teigė R.Liubertas.
R.Liuberto teigimu, iš Bilietai.lt elgesio matyti, kad jie arba iki šiol nedarydavo pažeidžiamumo testų, arba nekreipė į juos dėmesio, arba informaciją apie saugumo spragą norėjęs parduoti asmuo kreipėsi ne į pačią įmonę, arba galbūt komunikavo ne su tinkamais asmenimis.
„Tai, kad jei yra galimybė prieit prie asmens duomenų, ir pasiimti pačius bilietus, kurie bus naudojami ateityje, kelia klausimą, kokia yra Bilietai.lt saugumo politika, ar jie daro pažeidimų testavimus. Kai kažkas iš šono suranda tokį pažeidimą – tai nėra mažos reikšmės pažeidimas, tai yra didelės reikšmės pažeidžiamumas, kuris turėtų būti užkardomas ir iškart sutvarkomas. Tad arba Bilietai.lt neturi saugumo operacijų centro, kuris galėtų aptikti pažeidžiamumus anksčiau laiko ir surasti programinio kodo skyles, arba jie naudojasi pakankamai senomis sistemomis – arba tos sistemos yra neprižiūrimos, galbūt nėra žmogaus, kuris galėtų jas audituoti“, – kalbėjo IT specialistas.
Jo nuomone, tai, kad nutekintojas paskelbė pageidaujamą sumą, tik patvirtina versiją, kad jis nuo pat pradžių norėjo iš šios spragos atradimo užsidirbti.
Bilietai.lt direktoriaus komentaras
Ketvirtadienio popietę pranešimą spaudai išplatino ir Bilietai.lt direktorius Ramūnas Šaučikovas:
„Trečiadienį vėlai vakare ir kentvirtadienio rytą viešai pasklido informacija apie galimą neteisėtą prieigą prie Bilietai.lt klientų duomenų. Norėtume užtikrinti visus savo klientus – šią situaciją vertiname itin rimtai.
Sužinoję apie galimą incidentą, iš karto pradėjome vidinį tyrimą. Remiantis preliminariomis tyrimo išvadomis, identifikavome paveiktą sistemos vietą. Nedelsiant nutraukėme ir uždarėme bet kokią galimą neteisėtą prieigą prie klientų duomenų.
Pranešėme policijai ir kitoms atsakingoms institucijoms apie galimą nusikalstama veiką – be neteisėtų kaltininko veiksmų nebūtų įvykęs duomenų saugumo pažeidimas. Apie galimą asmens duomenų saugumo pažeidimą informavome kompetentingą nacionalinę priežiūros instituciją – Estijos duomenų apsaugos instituciją, kuri turėtų būti vadovaujanti šioje situacijoje. Taip pat tinkamai informuosime ir Lietuvos duomenų apsaugos inspekciją.
Su kiekvienu klientu, prie kurio asmens duomenų galimai įgijo prieigą piktavaliai, susisieksime. Norime užtikrinti, kad klientų įsigyti Bilietai.lt pirkiniai yra galiojantys ir saugūs. Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), el. pašto adresai, retais atvejais – telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti.
Incidentą, jo priežastis ir poveikio mastą tiriame toliau. Tam pasitelksime išorės ekspertus, kurie nustatys priežastis ir pateiks rekomendacijas, kaip pašalinti padarinius ir užkirsti kelią spragoms ateityje. Padarysime viską, ką galime, kad ši problema būtų išspręsta.
Atsiprašome visų už galimus nepatogumus, kuriuos sukėlė šis incidentas. Kaip ir minėjome, laikysimės visų teisės aktų reikalavimų, informuosime kiekvieną duomenų subjektą atskirai bei toliau skaidriai teiksime informaciją visiems, įskaitant žiniasklaidą“.