Papildyta 15.45 val. „Bilietai.lt“ vadovas: klientų pirkiniai yra galiojantys ir saugūs

„Bilietai.lt“ vadovas Ramūnas Šaučikovas patikina, kad klientų pirkiniai galios ir yra saugūs.

„Vakar (trečiadienį) vėlai vakare ir šiandien rytą viešai pasklido informacija apie galimą neteisėtą prieigą prie Bilietai.lt klientų duomenų. Norėtume užtikrinti visus savo klientus – šią situaciją vertiname itin rimtai.

Sužinoję apie galimą incidentą iš karto pradėjome vidinį tyrimą. Remiantis preliminariomis tyrimo išvadomis, identifikavome paveiktą sistemos vietą. Nedelsiant nutraukėme ir uždarėme bet kokią galimą neteisėtą prieigą prie klientų duomenų

Pranešėme policijai ir kitoms atsakingoms institucijoms apie galimą nusikalstamą veiką – be neteisėtų kaltininko veiksmų nebūtų įvykęs duomenų saugumo pažeidimas. Apie galimą asmens duomenų saugumo pažeidimą informavome kompetentingą nacionalinę priežiūros instituciją – Estijos duomenų apsaugos instituciją, kuri turėtų būti vadovaujanti šioje situacijoje. Taip pat tinkamai informuosime ir Lietuvos duomenų apsaugos inspekciją“, – paaiškina R. Šaučikovas.

Jis patikina, kad su kiekvienu klientu, prie kurio asmens duomenų galimai įgijo prieigą piktavaliai, bus susisiekta.

„Norime užtikrinti, kad klientų įsigyti Bilietai.lt pirkiniai yra galiojantys ir saugūs. Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), el. pašto adresai, retais atvejais – telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti.

Incidentą, jo priežastis ir poveikio mastą tiriame toliau. Tam pasitelksime išorės ekspertus, kurie nustatys priežastis ir pateiks rekomendacijas, kaip pašalinti padarinius ir užkirsti kelią spragoms ateityje. Padarysime viską, ką galime, kad ši problema būtų išspręsta.

Atsiprašome visų už galimus nepatogumus, kuriuos sukėlė šis incidentas. Kaip ir minėjome, laikysimės visų teisės aktų reikalavimų, informuosime kiekvieną duomenų subjektą atskirai bei toliau skaidriai teiksime informaciją visiems, įskaitant žiniasklaidą“, – pabrėžė vadovas.

Duomenų saugotojai: tirs Estijos priežiūros institucija

Valstybinės duomenų apsaugos inspekcija paaiškina, kad asmens duomenų saugumo pažeidimą, vadovaujantis Bendruoju duomenų apsaugos reglamentu, tiria tos valstybės asmens duomenų apsaugos priežiūros institucija, kurioje yra duomenų valdytojo pagrindinė buveinė.

„Dėl įvykusio ADSP pranešimą gavo Estijos asmens duomenų apsaugos priežiūros institucija. Aptariamu atveju informacinės sistemos bilietai.lt (įmonė UAB „Nacionalinis Bilietų Platintojas“) pagrindinė įmonė Piletilevi Grupp AS yra registruota Estijoje. Atsižvelgiant į tai šį atvejį tiria Estijos priežiūros institucija, nes yra vadovaujančioji priežiūros institucija. ADSP įvyko 2022 m. pabaigoje. Estijos priežiūros institucija apie šį ADSP buvo informuota 2023 m. sausio pradžioje.

Estijos priežiūros institucija per IMI sistemą informavo Valstybinę duomenų apsaugos inspekciją dėl įvykusio ADSP informacinėje sistemoje bilietai.lt 2023 m. kovo viduryje. Dėl platesnės tyrimo informacijos reikėtų kreiptis į Estijos priežiūros instituciją“, – paaiškinama komentare.

Valstybinė duomenų apsaugos inspekcija atkreipia dėmesį, kad ADSP patyrusi organizacija turi nedelsiant imtis veiksmų pažeidimui pašalinti, kad kaip galima labiau sumažintų galimas neigiamas pasekmes asmenims, kurių asmens duomenys galėjo nukentėti.

Papildyta 15 val.: advokatų kontoros „TGS Baltic“ teisininkas Mindaugas Beniušis komentuoja, kad kovo 29 d. pasirodė informacija apie galimai pavogtus ir platinamus Bilietai.lt vartotojų duomenis: asmeninę informaciją, anksčiau pirktus ir vis dar galiojančius bilietus bei dovanų čekius, kuriais, turint reikiamus įgūdžius, galima pasinaudoti arba juos perparduoti.

„Nors vėliau pranešimas apie saugumo spragą buvo pašalintas, vis dėlto tokios situacijos parodo, kodėl yra svarbu kalbėti apie duomenų apsaugą ir taikyti griežtus reikalavimus, kad tokios situacijos neįvyktų, – teigia teisininkas M. Beniušis.

Jis vertina, kad Bilietai.lt atvejis nėra standartinis, prie duomenų galimai buvo prieita ne nulaužus tam tikrą apsaugos sistemą, bet paprasčiausiai ją apėjus – tai tarsi skylė tvoroje, per kurią galima įlysti ir pasiimti tai, ko nori. Šiuo atveju savo tapatybės neatskleidęs asmuo galėjo tiesiog pasinaudoti šia spraga ir gauti prieigą prie informacijos apie esamus klientus, jų sutikimus, bilietus, dovanų kuponus ir pan.

Pranešime taip pat buvo skelbiama, kad Bilietai.lt apie esamą spragą galimai buvo informuoti. Jei tai tiesa – situacija tampa dar sudėtingesnė, nes tai parodytų, jog nors įmonė apie situaciją ir žinojo, niekas nesiėmė tokios spragos užtaisyti. Turint tokius duomenis kaip ką žmogus pirko ir už kiek – galima būtų ne tik pasinaudoti bilietais, bet tam tikrai atvejais sugalvoti ir piktesnių planų, todėl labai svarbu užtikrinti, kad tokios situacijos apskritai neįvyktų.

Šiuo atveju daugiau galimybių piktnaudžiauti kelia nepanaudoti dovanų kuponai – už juos būtų galima nusipirkti tai, ką nori ir tai padaryti labai lengva, tereikia unikalaus kupono kodo. Su bilietais gali būti kiek sudėtingiau, ypač, jei jie vardiniai, bet praktikoje tokių būna gan retai.

„Dėl to jei kalbėtume apie konkretų renginį, išsiaiškinti, ar bilietą parodęs žmogus iš tikrųjų yra tas, kuris jį ir pirko yra praktiškai neįmanoma, ypač, jei tai didelis renginys. Todėl tikrai gali pasitaikyti tokių situacijų, kuomet žmogus, turintis prieigą prie bilieto, paprasčiausiai ateina pirmas, o tikrajam pirkėjui pasakoma, kad, deja, bilietas jau yra panaudotas. O įrodyti kas ir kaip įvyko – gali būti labai sudėtinga.

Viena iš išeičių tokioje situacijoje galėtų būti naujų unikalių kodų bilietams sugeneravimas. Tai leistų nutekintus bilietus paversti negaliojančiais, bet, žinoma, yra ir daugiau niuansų, kuriuos būtų labai svarbu įsivertinti prieš atliekant tokį veiksmą. Pavyzdžiui, tikrai yra tokių žmonių, kurie bilietus atsispausdina ir daugiau elektroninio pašto netikrina, neseka technologijų ar duomenų apsaugos naujienų ir nežino, kas įvyko“, – vertina teisininkas.

Geriausias būdas apsisaugoti, anot jo, yra visuomet tai padaryti iš anksto ir pasistengti užtikrinti, kad tokios situacijos neįvyktų. Žinoma, būtina turėti ir aiškų veiksmų planą jei, vis dėlto, duomenų apsaugos incidentas įvyktų.

Už pažeidimus gresia baudos

Svarbiausias ir kertinis įstatymas, kuriame nustatyti duomenų apsaugos standartai ir kuris yra taikomas ne tik Lietuvoje, bet ir visoje Europoje – tai Bendrasis duomenų apsaugos reglamentas (BDAR). Čia aprašytų standartų turi laikytis kiekvienas verslas ar subjektas, tvarkantis asmens duomenis. Žinoma, šie standartai yra gana platūs ir jokių konkrečių priemonių, kurias turėtų taikyti įmonės – nenustato. Visos įmonės gali verstis labai skirtingomis veiklomis ir vienose renkami asmens duomenys bus itin jautrūs, kitose – ne, apžvelgia M. Beniušis.

Valstybinė duomenų apsaugos inspekcija (VDAI) gavusi skundus ar informaciją apie galimai nutekintus duomenis gali pradėti tyrimą, kurio metu bus tikrinami konkrečios įmonės vidiniai procesai, taip pat tai, kaip yra aprašytos jų apsaugos priemonės ir panašūs dalykai.

BDAR nustatyta, kad baudos už duomenų apsaugos pažeidimus siekia iki 4 proc. metinės įmonės apyvartos, maksimali bauda – 20 mln. Eur. Lietuvoje didžiausia bauda, kurią yra gavęs verslas už duomenų apsaugos pažeidimus – apie 100 tūkst. Eur.

„Tad sumos tikrai nėra mažos ir tai rodo, kad duomenų apsaugos nė viena įmonė ignoruoti neturėtų. Duomenų apsaugos svarba nuolat auga, todėl tvarkyti procesus reikia, o žinant apie tam tikras saugumo spragas, jas taip pat svarbu sutvarkyti ir užtikrinti, kad situacija nesikartotų“, – vertina M. Beniušis.

Pranešė apie galimą duomenų nutekinimą

Kaip skelbė telefonai.eu, vienas asmuo galimai atrado bilietai.lt sistemos pažeidžiamumą, kuris leidžia prieiti prie visos šios informacijos, o taip pat pateikiama kaip būtų galima iš to uždirbti.

Viešai prieiname forume asmuo pateikė įvairius įrodymus, kuriuose galima matyti ne tik jau pirktus ir panaudotus dovanų čekius ar bilietus į įvairiausius renginius, bet taip pat pateikta ir šimtai nuorodų su pirkėjų užsakymų patvirtinimais (sąskaitomis), kur matomas užsakovo el. pašto adresas, asmens kodas ar telefono numeris. Negana to, asmuo pateikė ir nuotrauką, kurioje galima matyti vieno asmens visus pirktus bilietus – renginio pavadinimas, pirkimo data, užsakymo numeris ir kita informacija.
Užsakymo patvirtinimas
Informaciją pateikiantis asmuo pažymi, kad turint tokią informaciją, priklausomai nuo įgūdžių bei renginių, galima uždirbti nuo 1 tūkst. iki 5 tūkst. eurų per mėnesį, o toks uždarbis galimas parduodant bilietus ar kuponus už žemesnę kainą kitiems asmenims. Įdomu ir tai, jog analogišką saugumo spragą galimai turi ir kitose šalyse veikiančios „Bilietai.lt“ svetainės. Estijoje – „Piletilevli.ee“, Latvijoje – „Bilesuserviss.lv“ ar Baltarusijoje – „Kvitki.by“.

Teigiama, kad anoniminis asmuo prieš metus ar du bandė susisiekti su „Bilietai.lt“ ir įspėti apie esamą spragą, tačiau į jo užklausas sureaguota nebuvo. Telefonai.eu susisiekė su neprisistačiusiu asmeniu, kuris patikino, jog jo aptikta saugumo skylė yra prieinamai atvirai ir papildomai laužtis į serverį ar administracinę puslapio pusę nereikia. Pastarojo teigimu, jis turi daugiau nei du metus renkamą informaciją, rašo telefonai.eu.

Telefonai.eu šaltinių duomenimis, vienas iš variantų kaip tokie duomenys galėjo atsidurti trečiųjų asmenų rankose – buvo naudojama SQL injekcija į „Bilietai.lt“ sistemos duomenų bazę arba aptiktos tam tikros prisijungimo spragos. Tai piktavaliui galėjo padėti aptikti du parametrus, kurie reikalingi gauti klientų užsakymų informacijai.
Bilietų informacija

„Norint gauti tokius duomenis apie užsakymą, šiuo atveju, reikia turėti du parametrus, kurie turi sutapti su įrašytais duomenų bazėje. Žinant tik vieną – informacijos gauti nepavyks, tačiau jeigu abu jie sutampa – sistema pateikia atsakymą“, - teigė anonimu norėjęs likti programuotojas.

Įdomu ir tai, jog aukščiau pateiktoje nuotraukoje matyti šios dienos, trečiadienio, data. Tai rodo, kad duomenis turintis asmuo prie „Bilietai.lt“ informacijos prieigą turi iki šiol. Verta paminėti, jog lietuviškame forume skelbta informacija dienos eigoje buvo pašalinta.

Portalai Telefonai.eu ir Lrytas.lt susisiekė su Bilietai.lt atstovais, tačiau kol kas jokių komentarų negavo. Gavus bilietų platintojo atstovų komentarą, informacija bus papildyta. Trečiadienio vakare apie 20 val. skelbimas apie saugumo spragą iš forumo buvo pašalintas.