„BankingLab“ yra finansinių technologijų įmonė, kuri anksčiau sujungė keturias Lietuvos fintech įmones: „Baltic amber solutions“, „GIRO sistema“, „Mokėjimų vizija“ ir „AutoKYC“.
Vilniuje įsikūrusi „BankingLab“ kuria sudėtingus, viską apimančius bankinius investicinius sprendimus. „BankingLab“ teikia visą skaitmeninės bankininkystės paslaugų paketą fintech įmonėms: pradedant klientų sąskaitų valdymu, mokėjimų apdorojimu, baigiant kortelių išdavimu, paskolų ar indėlių teikimo moduliais.
Rugsėjo 23 dieną įmonė patyrė rimtą kibernetinę ataką. LOGIN.LT gavo klientams platintą laišką, kuriame nurodo, kad programišiai galėjo perimti netgi klientų finansinių transakcijų duomenis.
„BankingLab“ informacijos saugumą ir duomenų privatumą vertina labai rimtai, mūsų didžiausias prioritetas yra klientų informacijos saugumas ir privatumas. Rašome jums šiandien, kad informuotume apie kibernetinę ataką prieš mūsų paslaugas. Mes jumis rūpinamės ir siekiame geriausių jums rezultatų. Kas atsitiko.
Rugsėjo 23 dieną, apie 12 val. nakties (EET laiku) mūsų stebėjimo komanda pastebėjo reikšmingą kompiuterinių resursų naudojimo padidėjimą. Buvo užregistruotas incidentas ir pradėtas tyrimas. Tą pačią dieną, 1 val. nakties (EET) tapo aišku, kad incidento priežastis buvo kibernetinė ataka“, – rašoma klientams išplatintame laiške, kurį gavo LOGIN.LT.
Bendrovė laiške patikina, kad pradėtas informacijos saugumo incidento tyrimas, kaip izoliavimo priemonė buvo priimtas sprendimas nedelsiant išjungti sistemas, siekiant sumažinti riziką. Klientai, anot įmonės, apie ataką buvo informuoti tą pačią dieną 2.20 val. nakties.
Bendrovė laiške nurodė, kad potencialiai buvo paveikti klientų kontaktiniai duomenis, galėjo būti atskleista dalies klientų finansinių transakcijų informacija, o dalies vėliausių finansinių transakcijų duomenys gali būti nepasiekiami.
„BankingLab“ vadovas Narimantas Bložnelis patvirtino, kad yra įvykęs incidentas, tačiau daugiau detalių pažadėjo pateikti vėliau.
Paviešinta daug „Perlas Finance“ duomenų
Tuo metu programišių svetainėse jau dalijamasi nutekėjusios informacijos pavyzdžiais: ne tik „Banking Lab“, bet ir „Perlas Finance“.
Programišiai rašo, kad 3,4 gigabaitų archyve iš „Perlas Finance“ yra finansinių operacijų srautai, paprastų naudotojų duomenys. Išpakavus archyvą, jame yra dešimtys gigabaitų inforamcijos. Patikrinti, ar duomenys tikri, login.lt neturi galimybės, tačiau bylose iš tiesų yra ir sąskaitų numeriai, ir sumos, vardai, pavardės.
Kęstutis Gataveckas, bendrovės „Perlas finance“ vadovas patikina, kad sulaukusi informacijos dėl prieš „Banking lab“ įvykdytą kibernetinę ataką, įmonė ėmėsi visų įmanomų priemonių, kad „Perlas finance“ klientų sąskaitos būtų apsaugotos.
„Visos piniginės klientų lėšos yra saugios, paslaugos teikiamos kaip įprasta. Šiuo metu vykdomas tyrimas, kurio išvadų laukiame iš paslaugų teikėjos „Banking Lab“. Nuoširdžiai apgailestaujame dėl susiklosčiusios situacijos ir darome viską, kad išsiaiškintume incidento priežastis, bendradarbiaujame su atsakingomis institucijomis. Gavę informaciją nedelsiant informuosime visus klientus, kurių duomenys galėjo tapti prieinami kibernetiniams nusikaltėliams“, – teigia jis.
Svetainėje breached.to „Banking Lab“ duomenis nutekinęs asmuo rašo:
„Bankinglab yra trijų įmonių platforma, skirta virtualių valiutų keityklų ir bankų valiutos operacijoms atlikti, tarp klientų yra „Simplex“, „Vialet“. Neseniai gavome visus „Bankinglab“ serverio leidimus ir perėmėme visų vartotojų duomenis, įskaitant kiekvieno vartotojo pavedimus., identifikavimo informaciją. Dabar aš pasidalinsiu duomenis ir raktu nuo „pam360“ slaptažodžių valdymo sistemos, naudotos „BankingLab“, čia yra vidinių paslaugų SSH raktas, slaptažodžiai nuo įvaiirų sistemų ir serverių, ir t.t. Mėgaukitės“, – rašo piktavalis.
Vien programišių paviešintame dokumente yra tūkstančiai vardų ir pavardžių, susietų su elektroniniais paštais.
Galėjo prieiti prie klientų sąskaitų
Portalas cybernews.com rašo, kad kibernetiniai nusikaltėliai greičiausiai išnaudojo Indijos kompanijos „Zoho“ produkto „ManageEngine“ kritinį pažeidžiamumą. Apie jį praėjusią savaitę informavo Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA), šis pažeidžiamumas buvo ištaisytas birželio 24 dieną.
Pažeidžiamumas leidžia užpuolikams vykdyti programinį kodą paveiktuose įrenginiuose, tam nereikia autentifikuotis. Portalo ekspertai vertina, kad „BankingLab“ naudojosi „ManageEngine“, kad apsaugotų savo tinklą.
„Cybernews“ tyrėjai atrado, kad programišiai viešai internete patalpino duomenų bazių kopijas, slaptažodžius nuo sistemų.
„Grėsmingi veikėjai pateikė įrodymus, kad jiems pavyko gauti prieigą prie duomenų bazės, jie galėjo perimti visas klientų paskyras ar net susikurti savo paskyrą, kad toliau veiktų ir keltų sumaištį“, – vertina „Cybernews“ tyrimų vadovas Mantas Sasnauskas.
Lietuvos bankas: paveikti mažesni rinkos dalyviai, lėšos saugios
Lietuvos bankas pasidalino komentaru apie užfiksuotą saugumo incidentą „Banking Lab“ bendrovėje, kuri teikia paslaugas finansų rinkos dalyviams.
„Jis paveikė šios bendrovės klientus, priskiriamus prie mažesnių finansų rinkos dalyvių. Mūsų žiniomis, klientų lėšos yra saugios, o paveiktos finansų įstaigos arba jau atkūrė veiklą, arba atkurs artimiausiu metu. Lietuvos bankas vertina incidentą pagal savo kompetenciją – kaip finansų įstaigos reagavo į incidentą ir užtikrino savo paslaugų teikimo tęstinumą. Nuolat gauname informaciją apie jo valdymo eigą, sprendimą dėl priežiūros priemonių priimsime gavę išsamią incidento tyrimo ataskaitą. Lietuvos banko duomenimis, apie incidentą yra informuotos ir kitos atsakingos institucijos: policija, Lietuvos Nacionalinis kibernetinio saugumo centras, Duomenų apsaugos inspekcija“, – rašoma komentare.
Lietuvos bankas pabrėžė, kad ne kartą yra įspėjęs finansų rinkos dalyvius apie augančią kibernetinių incidentų grėsmę ir nurodęs, kad skirtų šiai sričiai tinkamą dėmesį.
„Šiais metais jau buvo fiksuotos dvi kibernetinių atakų bangos prieš bankus, nustatyta ir pavienių incidentų. Nors trumpalaikių paslaugų sutrikdymų visiškai išvengti nepavyko, bankai operatyviai atkūrė paslaugų prieinamumą“, – vertina Lietuvos bankas.
„Infobalt“ vadovas: tokie įsilaužimai kompromituoja visą sektorių
Informacinių ir ryšių technologijų asociacijos „Infobalt“ vadovas Mindaugas Ubartas paaiškina, kad priėjus prie „BankingLab“ duomenų, paveikti įmonės klientai – „Perlas Finance“ gali būti ne vienintelė.
„Klausimas ar tai vienintelis klientas, kurio duomenys paviešinti, ar ten yra daugiau“, – sako M. Ubartas.
Jis vylėsi, kad ataka nepakenks finansų sektoriui Lietuvoje, tačiau pavadino vienu iš didžiausių incidentų Lietuvoje. Be to, paviešinti duomenys, tarp kurių, sąskaitos, pinigų sumos, vardai pavardės, atvers galimybes sukčiams bandyti naudotis socialinės inžinerijos metodais sukčiavimo schemose.
„Tokie įsilaužimai kompromituoja visą sektorių. Dar kartą yra pamoka, kad kuriant bet kokią sistemą, kibernetinis saugumas turi būti pirmoje vietoje, o ne kiti dalykai. Renkantis tiekėjus – irgi kibernetinio saugumo atrankos kriterijus turėtų būti, o ne mažiausia kaina“, – vertino M. Ubartas.
M. Ubartas pasigedo, kad sistemų kūrėja plačiau proaktyviai viešintų ir komentuotų, kas atsitiko.
„Šioje vietoje manau, kad yra bendrinė taisyklė – nekalbėjimas ir apsimetimas mirusiu negelbėja. Yra dviejų tipų įmonės: tos, kurios išlaužtos, ir tos, kurios dar bus išlaužtos, ir jau reikėtų pasimokyti, kad reikėtų būti pasiruošus tokiems veiksmams ir žiūrėti, kaip minimizuoti riziką ir žalą, kurią tokie incidentai gali sukelti“, – sako M. Ubartas.
Asociacija: paveikta ne viena įmonė
„Fintech Hub LT“ asociacijai yra žinoma apie programišių įsilaužimą į „BankingLab“ vidines sistemas.
„Apie šį incidentą pranešta įmonės klientams, partneriams, Lietuvos bankui, teisėsaugos pareigūnams ir Nacionaliniam kibernetinio saugumo centrui. Su „BankingLab“ susijusios fintech įmonės taip pat informavo atitinkamas institucijas ir savo klientus apie sutrikimus, kaip to reikalauja įstatymai bei vidinės tvarkos. Mūsų žiniomis, imtasi visų priemonių, kad būtų užkirstas kelias duomenų nutekėjimui.
Pasaulyje pastebima tendencija, kad įsilaužimų į vidines sistemas neišvengia tiek mažos, tiek didelės įmonės, tokios kaip „Uber“, „Microsoft“, „Yahoo“, „Ebay“, „Meta“, „LinkedIn“ ir kt. Mūsų asociacijos duomenimis, Lietuvoje esančios fintech bendrovės suvokia kylančias rizikas, turi paruošę atitinkamus planus, į tokio pobūdžio incidentus reaguoja nedelsdami, kasmet investuoja į savo vidines IT sistemas ir jų apsaugą, kad būtų išvengta programišių atakų ir asmens duomenų pažeidimų“, – sako „Fintech Hub LT“ vadovė Vaiva Amulė.
Ji patvirtino, kad paveikta ne viena įmonė, o šiuo metu siekiama užkirsti kelią duomenų nutekėjimui – nuo piktavalių paviešintų duomenų priklausys ir kibernetinės atakos sukelta žala.
LOGIN.LT dėl komentaro kreipėsi į priežiūros institucijas ir pačią įmonę – gavę daugiau informacijos papildysime.