„NKSC atliktas tyrimas rodo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos piktavaliui atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių“, – teigia NKSC direktorius Rytis Rainys.
„CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. Dėl šios priežasties buvo sudarytos sąlygos tretiesiems asmenims be autorizacijos pasiekti „CityBee“ klientų duomenis ir juos pasisavinti.
NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 m. ir ši kibernetinio saugumo spraga buvo užkardyta tik paaiškėjus apie incidentą šių metų vasario mėn.
„Internetinės debesijos paslaugos yra plačiai naudojamos, tačiau bendrovės, besinaudojančios tokiomis paslaugomis, privalo žinoti ir naudoti tokių paslaugų gerąsias praktikas bei užtikrinti ten esančių duomenų saugumą“, – pažymi NKSC direktorius Rytis Rainys.
Tirdamas šio kibernetinio incidento tyrimo aplinkybes NKSC disponavo ribota tyrimui pateikta „CityBee“ informacija.
