Kaip pranešė bendrovė, nusikaltėliai viename iš kibernetinių įsilaužėlių pamėgtų forumų paskelbė trejų metų senumo vartotojų duomenis. Informuojama, kad ribotam asmenų ratui tapo prieinami duomenys tų klientų, kurie „CityBee“ sistemoje užsiregistravo iki 2018 vasario 22 d.

Buvo pavogti ne tik dalies „CityBee“ klientų vardai, pavardės ir asmens kodai, bet taip pat ir telefonų numeriai, elektroninio pašto adresai, gyvenamosios vietos adresai, vairuotojų pažymėjimo numeriai bei užkoduoti slaptažodžiai.

Bendrovė tikina, kad pavogtų „CityBee“ klientų duomenų paskelbimas nepadarys jokios įtakos klientų finansinių paslaugų saugumui, nes bendrovė nekaupia jautrios informacijos, susijusios su klientų mokėjimo būdais.

Antradienį teisingumo ministrė Evelina Dobrovolska susitiko su policijos, VDAI ir „CityBee“ paslaugą teikiančios bendrovės atstovais aptarti 110 tūkst. vartotojų duomenų vagystės.

Po susitikimo spaudos konferencijoje ministrė teigė nematanti rizikos ir poreikio keisti banko kortelę ar vairuotojo pažymėjimą.

„Kalbame tik apie pažymėjimo numerį ir galiojimo datą. Susitikime įvertinome rizikas, kurias šiandien matome pakankamai žemas, jei kalbame apie vairuotojo pažymėjimo naudojimo ar dėl banko kortelių duomenų. Kadangi maža imtis buvo saugoma ir pagal tai, kas žinoma, nematome didelės rizikos visiems rekomenduoti keistis banko kortelę ar vairuotojo pažymėjimą“, – pažymėjo ji.

Anot jos, naujų duomenų nutekinimo masyvo neturėtų atsirasti.

Paklausta, kokia grėsmė, kad duomenys iš vairuotojo pažymėjimų galėtų būti panaudoti, ministrė sako, kad tokia rizika žema: „Citybee tikino, kad nėra saugomos nuotraukos, kopijos vairuotojų pažymėjimų, yra tik duomenys – galiojimo data ir numeris, atitinkamai visos galimybės pasiimti paskolą reikalauja arba gyvo asmens, arba vairuotojo pažymėjimo, to pažymėjimo kopijos.

Šiandien norint pasiimti tokią paskolą, reikėtų įdėti daug pastangų ir darbo, darant nusikalstamą veiką, t. y. tiek padirbant vairuotojo pažymėjimą, surandant to asmens nuotrauką papildomai, surandant banko sąskaitą, iš esmės rizika labai žema. Šiai dienai ji egzistuoja, bet kadangi nebuvo vairuotojo pažymėjimo kopijos ir jie nenutekėjo.“

E. Dobrovolska rekomenduoja sekti savo duomenis, esant poreikiui, pasikeisti vairuotojo pažymėjimą, tačiau indikacijos, kad visiems būtų būtina jį pasikeisti esą nėra.

„Atkreipėme ir bankų atstovų dėmesį, kad būtų nuodugniau žiūrima į įtartinas operacijas“, – pridūrė ji.

Renatas Požėla

Policijos generalinio komisaro Renato Požėlos teigimu, „CityBee“ paslaugas teikianti bendrovė „Prime Leasing“ teisėsaugos pradėtame ikiteisminiame tyrime yra pripažinta nukentėjusiąja.

Jis šiuo metu negali pasakyti, kokiu būdu buvo prisijungta prie duomenų bazės, ar tai buvo įsilaužimas, ar kitas metodas, – tai esą yra ikiteisminio tyrimo dalykas. Tikslinama ir padaryta žala.

Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas pažymi, kad apie įvykį informuotas ir Lietuvos bankas, ir Kibernetinio saugumo centras.

„Pagal pirminę informaciją, kurią šiandien aptarėme, „Citybee“ duomenų bazėje nebuvo tokios informacijos (vairuotojų pažymėjimų ir banko kortelių duomenų – Delfi). (...) Tų duomenų nebuvo, todėl reikėtų nusiraminti ir neeskaluoti“, – sako R. Andrijauskas.

Pasak jo, kol kas sunku pasakyti, ar bendrovė yra kalta dėl susidariusios situacijos – tam reikėtų nustatyti, jog bendrovė nesilaikė reikalavimų, duomenis laikė nesaugiai. Jis atkreipė dėmesį, kad kartais įveikti galima ir saugiausią sistemą.

Tiek Duomenų inspekcijos, tiek policijos teigimu, institucijos turi nukentėjusių vartotojų duomenis, todėl papildomai kreiptis ir pateikti pareiškimus nėra būtina – jų abi institucijos gavo po daugiau kaip 20. Pranešti vertėtų nebent apie papildomą informaciją, rašo BNS.

Raimondas Andrijauskas

Kaip antradienį spaudos konferencijoje kalbėjo įmonės vadovas Kristijonas Kaikaris, šiuo metu bendrovė dar aiškinasi aplinkybes, kaip nusikaltėliams į rankas pakliuvo klientų duomenys.

„Visų pirma labai apgailestaujame. Esu asmeniškai nukentėjęs, nes esu „CityBee“ klientas, mano draugai, artimieji, todėl suprantu nesaugumo jausmą, kurį patiria dalis klientų. Šiuo metu prioritetas – mūsų klientai, todėl įkūrėme karštąją liniją, kur nukentėjusieji gali kreiptis ir sužinoti reikiamą informaciją.

Artimai bendradarbiaujame su policija, aiškinamės aplinkybes, vietą, laiką, kaip sumažinti galimas pasekmes, kurios gali būti susijusios su asmens duomenų vagyste“, – kalbėjo jis.

Nukentėję asmenys gali kreiptis į VDAI

Nukentėję asmenys, susiję su šiuo duomenų saugumo incidentu, gali kreiptis bendru VDAI elektroniniu paštu ada@ada.lt, tyrimo laukelyje nurodydami raktinį žodį „CityBee“. Atsižvelgiant į tai, kad VDAI pradės tyrimą savo iniciatyva dėl duomenų saugumo pažeidimo įmonėje, todėl nukentėjusiesiems nėra būtinybės teikti atskirus skundus.

Besikreipiantieji į VDAI turėtų nurodyti, kad jų duomenys galėjo būti nutekinti, visa kita VDAI nustatys tyrimo metu ir asmeniškai susisieks su galimai nukentėjusiais asmenimis. Taip pat apie priimtą sprendimą bus paskelbta viešai.

VDAI atkreipia dėmesį, kad, vadovaujantis Bendruoju duomenų apsaugos reglamentu, duomenų saugumo pažeidimą patyrusi organizacija turi nedelsiant imtis visų priemonių padėčiai ištaisyti. Be kita ko, ne vėliau kaip per 72 val. apie tai pateikti pranešimą VDAI ir informuoti, su šiuo incidentu susijusius asmenis, kurių duomenys galėjo nukentėti.

Kristijonas Kaikaris

Ką daryti, įvykus duomenų vagystei

Reaguodama į šį incidentą, VDAI paskelbė patarimus, ką turėtų daryti vartotojas įvykus duomenų saugumo incidentui.

Pasak tarnybos, svarbu nedelsiant pakeisti visų virtualių paslaugų – socialinių tinklų, internetinių parduotuvių, internetinės komunikacijos ir panašiai, slaptažodžius, taip pat su jomis susijusių paslaugų slaptažodžius.

Senojo slaptažodžio reikėtų nebenaudoti, o naujuosius – keisti kas pusmetį. Vartotojai turėtų nenaudoti lengvai atspėjamų slaptažodžių, tokių kaip „qwerty“ ar „123456“, kiekvienai paslaugai svarbu susikurti skirtingus slaptažodžius.

Pastebėjus, kad pasikėsinta į daugiau paslaugų, reikėtų pasirūpinti jų kontrolės susigrąžinimu. Dažniausiai reikia atsakyti į kelis klausimus apie savo paskyrą. Atgavus jų kontrolę, svarbu patikrinti, ar nebuvo palikta „atvirų durų“ (angl. backdoor), pro kurias galėtų sugrįžti įsibrovėliai: ar yra sukonfigūruoti pašto korespondencijos persiuntimai į kitas pašto dėžutes, ar išjungti šlamšto filtrai ir ar pasikeitė atsakymai į saugos klausimus kitų paslaugų paskyrose.

Vartotojai taip pat turėtų atidžiai stebėti, kas vyksta su jų sąskaitomis, ar internetinėse parduotuvėse nebuvo pridėti nauji pristatymo adresai, prijungtos naujos paskyros.

Taip pat rekomenduojama atšaukti visus suteiktus atviro prisijungimo leidimus, vietoj to sukuriant atskirą prisijungimą su vartotojo vardu ir slaptažodžiu.

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
Prisijungti prie diskusijos Rodyti diskusiją (426)