Programišius esą pardavė tik kelias kopijas duomenų pilna apimtimi
Klientų duomenų bazių dalijimosi forumo „Raid Forums“ narys, slapyvardžiu „000“, pirmadienį paskelbė „CityBee“ informaciją apie klientus, užsiregistravusius iki 2018-ųjų vasario. Vėliau jis viešai paskelbė ir savo kontaktus žurnalistams. Su programišiumi pavyko susisiekti ir Delfi žurnalistams.
Trečiadienį BNS žurnalistams jis teigė, kad „CityBee“ duomenų apsauga yra itin prasta, – prie duomenų galėjo prieiti kone bet kas, atradęs saugumo spragą ir turėjęs šiek tiek IT žinių.
„CityBee“ naudojo Microsoft teikiamą „Azure Blob“ duomenų saugyklos paslaugą. „Microsoft“ leidžia užtikrinti šių saugyklų saugumą su papildoma autentifikacija, tačiau „CityBee“ dėl kažkokios priežasties pasirinko to nepadaryti.
Tyrėjai, hakeriai ir koderiai naudoja vadinamuosius DNS įrašus, kurie yra kaip telefonų knyga, išsišakojanti į kitus domenus, susijusius su pagrindiniu domenu. Atlikau paiešką „Citybee“ CNAME tipo DNS įrašuose, per kuriuos ir radau sąsają su „Azure“ saugykla“, – BNS pasakojo jis.
„CityBee“ klientų duomenis paskelbęs programišius Delfi patikslino, kad „CityBee“ įmonę rado atsitiktinai, specialiai jos neieškojo. Taip pat jis paskelbė visą turėtą informaciją, kuri, kaip tikina, buvo 2018 m. įmonės klientų kopijos. Iš to galima spręsti, kad nutekėjo tik senesni nei 2018 m. vasario mėn. klientų duomenys.
„Ten buvo aplankas, pažymėtas „sql“, kuriame buvo 2018 metų duomenų kopijos“, – per slaptą susirašinėjimo programėlę patikslino jis.
Programišius pridūrė, kad internete vis dar pardavinėja šiuos duomenis, iš viso pardavė tik kelias kopijas pilna apimtimi. Paklaustas, kam šiuos duomenis pardavė, jis nurodė saugumo tyrėjus, kurie šią informaciją esą naudoja, norėdami įvertinti įmonių duomenų saugumą.
Užsiminus, kad kai kurie klientai jau sulaukia keistų skambučių iš užsienio, laiškų ir prisijungimų prie jų paskyrų, ir paklausus, ar jų duomenys buvo parduoti asmenims, turintiems piktų ketinimų, programišius tikina, kad prisijungimai vyko iš „nemokamo sąrašo“. Paprašytas patikslinti, jis nurodė, kad kai kuriuos klientų duomenis pardavė po 8 JAV dolerius bitkoinais.
Programišius patikino, kad „CityBee“ nesiūlė išsipirkti duomenų, tačiau neatsakė, kodėl.
Jis taip pat rašė, kad neturi panašių duomenų iš kitų Lietuvos įmonių, ir dar nežino, ar planuoja kitas atakas.
„Raid Forums“ naudotojas, kuris tvirtino veikęs kartu su kitais naudotojais „Goofy TaeTae“ ir ISUPK, teigia apgailestaujantis dėl žalos, kurią patyrė paprasti „CityBee“ naudotojai, tačiau pabrėžė, jog tokie duomenų nutekinimai vyksta kasdien. „Aš užjaučiu paprastus žmones, tačiau ne turtinguosius ir valdžios pareigūnus“, – BNS sakė „000“.
IT ekspertas: kad atsirado galimybė pavogti duomenis – įmonės kaltė
„KPMG Baltics“ technologijų konsultacijų skyriaus vadovas Artūras Orševskis situaciją vertina iš dviejų pusių. Pirmiausia, kaip pažymi, įmonė padarė pažeidimų, mat informacija apie klientus atsidūrė neapsaugotame serveryje.
„Nebuvo laikomasi gerųjų praktikų, nebuvo stebėta ir nesužiūrėti patys veiksmai, nes informacija, kaip suprantu, atsidūrė ten neplanuotai. Įmonės veikloje tai nėra normali praktika, ir su tais duomenimis gal kažkuris iš darbuotojų aplaidžiai pasielgė, bet tai nėra pasiteisinimas, nes turi būti procedūros, priežiūra, testai. Tai – įmonės atsakomybė.
Girdėjau vadovo pasakymą, kad informacija ten (serveryje – Delfi) atsirado, kai buvo vykdomas duomenų migravimas iš vienos duomenų bazės į naujesnę sistemą. Matyt, po to migravimo buvo aplaidumas, nebuvo pasirūpinta informacija, kuri liko senoje vietoje, iš esmės prieinama iš išorės. Matyt, visi pamiršo, kažkuris darbuotojas ar keli iki galo nesužiūrėjo ir išėjo tokia situacija“, – komentuoja duomenų apsaugos ekspertas.
Kita vertus, anot pašnekovo, programišius paskelbė „CityBee“ klientų duomenis, o tai yra neteisėti veiksmai, vertinami kaip nusikalstama veika. A. Orševskis atkreipia dėmesį, kad paprastuoju „Google“ paieškos būdu tokių duomenų tikrai neįmanoma aptikti, tam reikia turėti specialių žinių.
Tuo metu nukentėjusiems „CityBee“ klientams padedantis ruošti pretenziją advokatas Mindaugas Kiškis mano, kad atspėti duomenų laikymo vietą nėra taip sunku.
„Hackeris paaiškino, kaip įvykdytas įsilaužimas ir kada. Tai, ką jis paskelbė, yra skandalingi dalykai, nes realiai niekur nereikėjo laužtis, duomenys buvo tiesiog palikti internete, tikėtina, aplaidžiai. Viskas, ką reikėjo padaryti, – surinkti reikiamą adresą ir parsisiųsti duomenis. Toks tai ir įsilaužimas.
Hackeris žino, kaip teisingai adresą įvesti, nes kai kuriais atvejais tas adresas – kaip slaptažodis. Vadinami sistemų administratoriai, įmonių programuotojai yra tokie patys žmonės, naudoja kas yra įprasta, šabloninius adresus ir pan. Todėl atspėti nėra sunku, kaip atrodo“, – sako M. Kiškis.
IT saugumo eksperto vertinimu, tai, kad atsirado galimybė pavogti duomenis, – visiškai įmonės kaltė: „Tai yra Bendrojo duomenų apsaugos reglamento (BDAR) nepaisymas, nes yra reikalavimai, kad įmonė turėjo susekti ir sužiūrėti, kur yra asmens duomenys. Yra visa eilė pažeidimų, Duomenų apsaugos inspekcija (VDAI) plačiau pakomentuos po savo tyrimo.“
Nutekinti duomenys gali būti panaudoti gudresnėse sukčiavimo schemose
Antradienį teisingumo ministrė Evelina Dobrovolska teigė, kad išlieka žema rizika, jog gali būti panaudojami vairuotojų pažymėjimo, mokėjimo kortelių duomenys. Trečiadienį jos žodžius patvirtino ir kitos institucijos. Vis dėlto, A. Orševskio nuomone, nutekinti asmenų duomenys gali būti panaudoti gudresnėse sukčiavimo schemose.
„Jie daugiau, matyt, kalbėjo apie riziką bendroje apimtyje visų nutekintų duomenų, – dešimtys tūkstančių nepateks į riziką, jog bus pasinaudota jų duomenimis. Galbūt taip buvo pasakyta, kad šiuolaikinėms finansinėms ir kitoms institucijoms nepakanka vien įrašo, asmens kodo ar pažymėjimo numerio, reikia to pažymėjimo vaizdo, nuotraukos, kai kur identifikuojantis, ar papildomos informacijos. Lengvai panaudoti šių duomenų nepavyks.
Tačiau gudresnėse sukčiavimo schemose tai tikrai naudinga informacija, ir esu įsitikinęs, kad bus naudojama. Pavyzdžiui, per PVM įvairios sukčiavimo schemos, arba atliekant tarp šalių pirkimus, išlenda mokestiniai dalykai. Tai tokia informacija, kuri gali būti panaudota ir gali sukelti daug nepatogumų“, – pažymi jis.
Tarkim, yra finansų startuolis, veikiantis Ispanijoje, kaip jam įrodyti, kad ne jis atidarė sąskaitą, kad ne jis ja naudojasi ir joje neplaus pinigų. Šie dalykai išlįs ne šiandien, ne po savaitės, o po dvejų metų. Žmogui galbūt ateis kriminaliniai kaltinimai, kad jis neva plovė pinigus, o, pasirodo, jo duomenis prarado nelabai sąžiningai veikusi įmonė, ir jo vardu tiesiog pasinaudojo piktavaliai.
Advokatas M. Kiškis sako, kad blogiausiu – tapatybės vagystės – scenarijumi asmeniui gali būti padaryta ilgalaikė žala, kuri nežinia, kada paaiškės.
„Jeigu norėsite atsidaryti banko paskyrą, pasinaudoti finansinių paslaugų teikėju nebūtinai Lietuvoje, o Jungtinėje Karalystėje, Estijoje ir pan., gali būti neleidžiama to padaryti.
Pavyzdžiui, vienas vartotojas papasakojo apie konkrečią situaciją, kad kažkas, pasirodo, jau atidarė jo vardu sąskaitą. Jis nebežino, ką daryti, įmonė nebeteikia jokios informacijos. Jis net negali jos uždaryti. Gal ir gali, bet tai – didžiuliai procesai ir išlaidos.
Tarkim, yra finansų startuolis, veikiantis Ispanijoje. Kaip jam įrodyti, kad ne jis atidarė sąskaitą, kad ne jis ja naudojasi ir joje neplaus pinigų. Šie dalykai išlįs ne šiandien, ne po savaitės, o po dvejų metų. Žmogui galbūt ateis kriminaliniai kaltinimai, kad jis neva plovė pinigus, o, pasirodo, jo duomenis prarado nelabai sąžiningai veikusi įmonė, ir jo vardu tiesiog pasinaudojo piktavaliai“, – pasakoja advokatas.
Keisti mokėjimo kortelės nepataria, dėl vairuotojo pažymėjimo atkreipia dėmesį
IT saugumo ekspertas nemano, kad nutekėjus duomenims, reikėtų keisti mokėjimo korteles. Anot jo, tarp nutekintos informacijos nebuvo tokių mokėjimo kortelių duomenų, kurių pakaktų atlikti mokėjimo nuskaitymus nuo „CityBee“ klientų kortelių.
„Jei pasitikėsime įsilaužėlio informacija, kurią jis pateikė, nors negalime būti tikri, bet panašu, kad jis pakankamai tikslią informaciją iki šiol skleidžia, informacija, kuri yra duomenų bazėje, – techninio pobūdžio. Tai nėra visas kortelės numeris, nėra CVV kodo, bet yra, pavyzdžiui, nurodytas kortelės tipas, papildomi duomenys, kurie reikalingi, kad pats mokėjimas įvyktų.
Mokėjimo už „CityBee“ paslaugas yra atskiras teikėjas, kurį yra pasisamdžiusi įmonė, ji ir turi visą informaciją. Jos (techninės informacijos – Delfi) nepakanka, kad būtų galima nusavinti lėšas ar kitus duomenis iš klientų“, – patikina A. Orševskis.
Tačiau dėl vairuotojo pažymėjimų panaudojimo jis kelia abejonių, todėl norintiems būti 100 proc. tikriems, kad jų duomenys saugūs, jis pataria pasikeisti vairuotojo pažymėjimą.
Kaip nurodė „CityBee“, buvo kaupiami tik vairuotojo pažymėjimų galiojimo data ir numeriai. Tačiau nukentėjusius atstovaujantis advokatas M. Kiškis trečiadienį Delfi išreiškė nuogąstavimų, kad tarp duomenų galėjo būti ir klientų vairuotojų pažymėjimų atvaizdai.
„Kaip yra nurodoma, yra trečiosios šalys, pas kuriuos yra tos nuotraukos. Jau ne vieną kartą girdėjau vadovo patikinimą, kad tos informacijos duomenų bazės rinkinyje tikrai nebuvo. Noriu tikėti, kad taip ir yra.
Norint būti visiškai 100 proc. ramiam, turbūt reikėtų pasikeisti vairuotojo pažymėjimą. Tikimybė, kad tapsite sukčių auka ar taikiniu statistiškai – pakankamai maža. Nors mano duomenų toje bazėje nėra, net jeigu ir būčiau, asmeniškai nesikeisčiau, bet būčiau budresnis. Jeigu gaučiau pranešimų, sąskaitų, stebėčiau save ir aplinką, ar nėra kokių nors požymių, kad mano duomenimis naudojamasi. Jei nors vienas yra – tada tikrai keisčiau“, – sako A. Orševskis.
Artimiausiu metu gali atsirasti ir daugiau siurprizų
Be kita ko, pašnekovas atkreipia dėmesį, kad artimiausiu metu gali pasirodyti ir daugiau siurprizų dėl nutekintų duomenų. Čia taip pat iškyla klausimas, ar nutekėjo tik Lietuvos „CityBee“ klientų duomenys.
Kaip žinia, įmonė veikia ir Latvijoje bei Estijoje. Trečiadienį įmonės vadovas Kristijonas Kaikaris Delfi patikino, kad kitų šalių klientai nenukentėjo, o pavogti ir paviešinti buvo tik Lietuvoje „CityBee“ paslaugos naudotojais tapusių asmenų, kurie užsiregistravo iki 2018 m. vasario 22 d., duomenys.
„Nepamirškime, kad dar neturime garantijų ir 100 proc. patvirtinimo, kad toje ar kitoje panašioje vietoje, kur „Citybee“ saugo informaciją, buvo tik ši duomenų bazė nutenkinta. Šito iš niekur patvirtinimo negirdėjome, todėl gali būti kokių nors siurprizų artimiausiu metu. (...)
Jeigu buvo migravimas, matyt, jis buvo didesnio masto. Jeigu jis vyko 2018 m. vasarį, nepasakysiu, ar „CityBee“ jau veikė kitose šalyse, bet tuo pat metu galėjo būti ir kita informacija ten laikoma. Įmonė šiandien jau pilna apimtimi turėtų žinoti, kokia ir kiek tos informacijos galėjo būti“, – pažymi A. Orševskis.
Vienareikšmiškai pasitikėti kuria nors puse nereikėtų
Duomenis nutekinęs programišius ir įmonė pateikia skirtingą informaciją. Įsilaužėlis forume rašė, kad informaciją pasisavino prieš savaitę, o „CityBee“ teigimu, tai įvyko prieš trejus metus. IT saugumo ekspertas sako, kad negalima vienareikšmiškai pasitikėti kuria nors puse.
„Logiškai turėtume labiau pasitikėti įmonės informacija, bet dar vyksta tyrimas, institucijos bando nustatyti patį programišių ir jį identifikuoti. Dabartinė komunikacija, manau, nėra visiškai tiksli iš jokios pusės.
Tai, ką paskelbė, pats hackeris, manau, kad galėjo taip būti, – jis duomenis rado, atlikdamas skenavimą, – bandydamas surasti vietų, kur saugoma informacija, ir tai padarė tik praeitą savaitę, nusikopijavo ir kažkam pasiūlė nusipirkti šį pirmadienį“, – svarsto pašnekovas.
„CityBee“ informuoja, kad ribotam asmenų ratui tapo prieinami duomenys tų klientų, kurie „CityBee“ sistemoje užsiregistravo iki 2018 vasario 22 d. Tačiau viešoje erdvėje jau pasigirdo kalbų, kad tarp nukentėjusiųjų – ir vėliau nei minima data prisijungę asmenys. Visgi IT ekspertas skeptiškai vertina šią informaciją.
„Greičiausiai žmonės prisijungė ir nenaudojo paskyros, kai kurie turi po keletą beveik identiškų paskyrų, kas matyti iš duomenų bazės. Gal kažkas pamiršo informaciją ir iš naujo jungėsi, keičiasi ir telefono numeriai. O „CityBee“ sistema irgi keitėsi, tai manau, po kelis kartus buvo sukurtos paskyros ir žmonės tiesiog galvoja, kad jie pirmą kartą panaudojo.
Tarp pažįstamų negirdėjau tokių, kurie paskyras buvo susikūrę po 2018 m. vasario ir kurie būtų duomenų bazėje. Aš linkęs labiau tikėti, kad ten buvo informacija iki 2018 m. vasario pabaigos“, – teigia A. Orševskis.
Ką daryti, sulaukus keistų laiškų, skambučių ir prisijungimų
Be kita ko, nukentėję „CityBee“ klientai sulaukia keistų skambučių iš užsienio, pavyzdžiui, Haičio, taip pat fiksuoja bandymus prisijungti prie jų socialinių tinklų paskyrų, pavyzdžiui, „Facebook“, „Spotify“ ar „Gmail“. Ekspertas įsitikinęs, kad šiuos atvejus visiškai galima sieti su duomenų nutekinimu.
„Jei žmonės gauna pranešimus apie keistus prisijungimus prie paskyrų ar skambučius iš Haičio, tai reiškia, kad informacija jau pasklidusi sukčių, hackerių bendruomenėje, jie ją vertina: turi pašto adresą, slaptažodį, kitą informaciją. Jeigu žmogus turėjo tokią paskyrą „CityBee“, kodėl gi jam nepanaudojus tų pačių prisijungimo duomenų ir kitur – feisbuke, jungiantis prie el. pašto ar kažkur kitur“, – komentuoja „KPMG“ technologijų konsultacijų skyriaus vadovas.
Pašnekovas sako, kad programišius, kuris pasisavino klientų duomenis, juos pardavinėjo viešame hackerių bendruomenės forume. Jis atkreipia dėmesį, kad prekyba ne tik „CityBee“, bet ir kitų įmonių duomenimis vyksta kasdien.
„Pirkėjai dažniausiai būna piktų finansinių ketinimų turintys žmonės, kurie nusiperka tas duomenų bazes ir po to naudoja sukčiavimo machinacijoms, – nuo paprasčiausio siunčiamo spamo iki labai sufestikuotų, pavyzdžiui, vadovo komunikacijos stebėjimo ir bandymų, kai sąskaita su kitais rekvizitais nusiunčiama buhalterijai ar apskaitai. Atrodo viskas autentiška, su vadovu vyksta komunikacija laiškais, darbuotojai patiki, kad tai visiškai legalus dalykas ir atlieka mokėjimus į visai netinkamą sąskaitą. Vienas pastarųjų tokių atvejų – Alytaus savivaldybės“, – aiškina jis.
„Tokio tipo incidentai pradedami nuo to, kad yra renkama informacija: kas, kaip, kur su kuo bendrauja, iš kokių pašto dėžučių rašo, kokio amžiaus, kokie duomenys dalyvauja susirašinėjime“, – priduria ekspertas.
A. Orševskis, sulaukus skambučio iš nežinomo užsienietiško numerio, pataria neatsiliepti: „Jeigu pastebite, kad skambina labai keistas numeris, dažniausiai matoma, iš kokios šalies, pradžioje kitas kodas, ir jūs neturite su ta šalimi jokio kontakto, į tokius skambučius neatsakinėkite. Aš blogiausiu atveju nusiunčiu automatinę SMS – „parašykite man laišką arba SMS“ ir pan.“
Tačiau, anot eksperto, jeigu jau nežinomas asmuo prisijungė prie jūsų paskyros, – šaukštai po pietų: „Tada reikia susisiekti su paskyrų administratoriais ir prašyti atstatyti paskyrą. Jeigu jau prisijungta, dažniausiai po to būna kiti veiksmai – yra kontakto adresai, tuo prisijungimo vardu kažkas išsiuntinėjama, būna ir pakeistas slaptažodis, kad senuoju nebeprisijungtumėte.“
