-
Technologijų ir teisės ekspertai aptars „CityBee“ klientų duomenų nutekinimą 1
Ekspertų judėjimas „Vilnius Legal Hackers“ pranešė rengiantis diskusiją „CityBee incidentas: išmoktos pamokos ir iššūkiai ateityje“.
Renginyje dalyvaus Valstybinės duomenų apsaugos inspekcijos (VDAI) Informacinių technologijų skyriaus vedėjas Jevgenijus Tichonovas, „ESET Lietuva“ vadovas, kibernetinio saugumo ekspertas Tomas Parnarauskas, teisės ir technologijų mokslininkas Marius Laurinaitis ir kiti ekspertai.
„Vilnius Legal Hackers“ yra pasaulinio judėjimo „Legal Hackers“ padalinys Vilniuje. Teisininkai, politikos formuotojai, technologai ir akademikai tyrinėja ir kuria sprendimus teisės ir technologijų srityje.
Apie „CityBee“ klientų duomenų nutekėjimą paskelbta pirmadienio vakarą. Į programišių rankas pakliuvo ir buvo viešai paskelbta apie 110 tūkst. vartotojų, kurie platformoje užsiregistravo iki 2018-ųjų vasario 22 dienos, vardai, telefono numeriai, el. pašto adresai, asmens kodai, slaptažodžiai.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
-
„CityBee“ vadovas: mokėjimo kortelių atsisakyti tikrai nereikia
Prieigą prie 2018 metų „CityBee“ duomenų gavęs ir juos paskelbęs anoniminis programišius antradienio vakarą viename forume skelbė duomenų bazės medžio ekrano nuotraukas. Jose buvo galima matyti aplankus „dbo.CreditCards“, kurie gali atrodyti kaip nuoroda į kreditinių kortelių duomenis.
Tačiau Kristijonas Kaikaris teigia, kad šie duomenys tikrai negalėjo būti pavogti, nes „CityBee“ mokėjimus apdoroja sertifikuota „PayPal“ įmonė „Braintree“.
„Interpretacijos, kad yra ir tie duomenys, iš tikrųjų yra klaidingos, lygiai taip pat su vairuotojų pažymėjimais. Buvo pavogti vartotojų pažymėjimo numeriai ir galiojimo datos, kitos informacijos neturėjome ir iš tos duomenų bazės tikrai negalėjo būti pavogta“, – BNS trečiadienį sakė K. Kaikaris.
„Nereikia atsisakinėti kortelių, skambinti bankams, tikrai to nereikia daryti“, – pabrėžė jis.
Anot „CityBee“ vadovo, visų pirma įmonė išsiaiškino, kad duomenys nėra pavogti iš darbinės sistemos, o yra prieš trejus metus padaryta duomenų bazės kopija.
Tie duomenys tikrai nebuvo padėti ant lėkštutės.
„Tie duomenys, kurie yra dabartinėje sistemoje, yra puikiai apsaugoti visomis naujausiomis sistemomis. Mes dabar netgi priverstinai į kiekvieno vartotojo programėlę sudiegėme dar vieną identifikacijos sluoksnį“, – sakė K. Kaikaris.
Duomenis gavęs ir juos paviešinęs programišius, su kuriuo susisiekė BNS, teigė, kad „CityBee“ duomenų apsauga yra itin prasta, o prieigą prie jų jis gavo pakankamai lengvai.
Tačiau bendrovės vadovas sako, kad pavogti duomenis lengva nebuvo ir hakeriu tikėti nereikėtų.
„Tie duomenys tikrai nebuvo padėti ant lėkštutės. Jis turėjo įrankius, turėjo įsilaužti, ką jis, beje, ir pats aprašė forume. Jis teigė, kad tai padarė lengvai, bet tai yra nusikaltimas, vagystė. Tai yra galimai net kelios nusikalstamos veikos, ne tik vagystė, bet ir duomenų paviešinimas“, – pabrėžė K. Kaikaris.
Kalbėdamas apie Vartotojų aljanso ketinimus dėl prarastų duomenų teikti ieškinį „CityBee“, K. Kaikaris sakė, jog apie galimas kompensacijas vartotojams kalbėti anksti, tačiau įmonė „tikrai galvos, ką galima padaryti geriau“.
Apie „CityBee“ klientų duomenų nutekėjimą paskelbta pirmadienio vakarą. Į programišių rankas pakliuvo ir buvo viešai paskelbta apie 110 tūkst. vartotojų, kurie platformoje užsiregistravo iki 2018-ųjų vasario 22 dienos, vardai, telefono numeriai, el. pašto adresai, asmens kodai, slaptažodžiai.
Savo klientus, kurie bendrovės sistemoje registravosi iki 2018-ųjų vasario 22-osios, „CityBee“ ragina pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
-
NKSC vadovas: „CityBee“ vartotojų slaptažodžiai užkoduoti silpnai, būtina juos keisti
„Iš kibernetinio saugumo pusės mes vertiname, kad būtent tie slaptažodžiai, kurie buvo paviešinti, nors jie ir buvo užkoduoti, tačiau užkoduoti silpnai ir juos automatinėmis priemonėmis piktavaliams galima dekoduoti. Tai reiškia, vartotojai, kurių slaptažodžiai ten yra, turėtų iš esmės juos pasikeisti. Ypač vartotojai, kurie naudoja tuos pačius slaptažodžius kitoms paskyroms“, – žurnalistams trečiadienį sakė R. Rainys.
„Pagrindinė mūsų žinutė vartotojams – reikia keisti slaptažodžius ir keisti greitai“, – akcentavo jis.
Pasak jo, kodavimo algoritmai, naudoti saugoti slaptažodžius, šiuo metu rekomenduojami nenaudoti.
Pagrindinė mūsų žinutė vartotojams – reikia keisti slaptažodžius ir keisti greitai.
R. Rainys teigia, kad duomenis paviešinusio programišiaus pateikta versija, jog „CityBee“ duomenų apsauga yra itin prasta, nenaudota papildoma autentifikacija, yra viena iš hipotezių, kurios bus tiriamos.
Pasak jo, duomenys galėjo būti pavogti ir fiziškai, nebūtinai įsilaužus, nes šiuo metu nėra aišku, kaip duomenys pateko į rankas piktavaliams juos paviešinusiems žmonėms.
„Kaip tai įvyko ir kada tai įvyko nežino nei sistemos valdytojas, nei mes, o kad tai nustatytume, reikia techninių duomenų, kuriuos mes tikimės artimiausiu metu gauti“, – sakė R. Rainys.
Apie tai, kad trejų metų senumo „CityBee“ naudotojų duomenys buvo paskelbti internete, pranešta pirmadienio vakarą. Bendrovė teigia, kad nutekėjo apie 110 tūkst. klientų duomenys.
Tarp programišių paskelbtų duomenų yra klientų el. pašto adresai, telefono numeriai, asmens kodai, užkoduoti slaptažodžiai.
Tyrimą dėl duomenų vagystės pradėjo Lietuvos kriminalinės policijos biuras.
Už neteistą elektroninių duomenų perėmimą ir panaudojimą gresia bauda arba laisvės atėmimas iki ketverių metų.
„CityBee“ vadovas Kristijonas Kaikaris antradienį spaudos konferencijoje sakė, kad hakeriai vartotojų mokėjimo duomenų nepavogė, nes bendrovė šių duomenų nekaupia ir nelaiko.
Savo klientus, kurie bendrovės sistemoje registravosi iki 2018-ųjų vasario 22 dienos, „CityBee“ ragina pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
VDAI vadovas: duomenų vagystės pasekmes sunku prognozuoti
Klientų duomenų vagystės ir jų paskelbimo pasekmes kol kas sunku prognozuoti, sako Valstybinės duomenų apsaugos inspekcijos (VDAI) vadovas.
Jo teigimu, šiuo metu taip pat nėra pagrindo nuogąstauti, kad žmonės dėl to galėtų patirti tiesioginių finansinių nuostolių.
„Tų duomenų, kurie buvo pavogti, neužtektų tam tikriems finansiniams nusikaltimams (pasisavinti pinigus iš banko sąskaitos ar paimti kreditą svetimu vardu – BNS) padaryti, bet tai pagal pirminę informaciją“, – trečiadienį per spaudos konferenciją sakė VDAI direktorius Raimondas Andrijauskas.
Daug yra galimybių, kaip gali būti panaudoti vieni ar kiti duomenys apie jus, tad sunku prognozuoti.
Kita vertus, jis pabrėžė, jog kibernetinių nusikaltimų specifika yra tokia, kad kartais net sunku įsivaizduoti, kam viena ar kita informacija gali būti panaudota.
„Pavyzdžiui, telefono numeris galbūt panaudotas išvilioti iš jūsų kitą informaciją, elektroninio pašto adresas galbūt gali būti panaudotas jums atsiųsti kenkėjišką elektroninį laišką“, – vardijo inspekcijos vadovas.
„Daug yra galimybių, kaip gali būti panaudoti vieni ar kiti duomenys apie jus, tad sunku prognozuoti. Tai net gali priklausyti nuo programišių fantazijos“, – tvirtino jis.
„Tas pasekmes prognozuoti sunku“, – sakė R. Andrijauskas.
Savo ruožtu jis patarė „CityBee“ klientams šiuo metu būti atsargesniems ir įtariau žiūrėti į gautus neaiškius laiškus, skambučius ar trumpąsias žinutes.
„Siūlome tam tikrus žingsnius – pastebėjus neįprastą veiklą ar ką nors, kas nesutampa su jūsų paskyra, tiesiog atnaujinti nustatymus, numatyti dvigubą identifikaciją, peržvelgti įvairius kanalus dėl jūsų slaptažodžio atstatymo ir panašiai, kad ta rizika sumažėtų“, – teigė VDAI vadovas.
Jis informavo, kad automobilių dalijimosi paslaugas teikianti bendrovė „CityBee“, iš kurios pirmadienį pavogti apie 110 tūkst. Lietuvoje registruotų vartotojų duomenys, oficialaus pranešimo apie įvykį inspekcijai dar nepateikė. Todėl, anot R. Andrijausko, daug klausimų, susiję su įvykiu, neatsakyti.
Pati VDAI trečiadienį sulaukė per 2400 pranešimų iš atskirų žmonių.
Inspekcijos direktorius teigė, kad tokio masto duomenų apsaugos pažeidimo Lietuvoje turbūt nėra buvę. Jis vylėsi, kad tyrimas truks trumpiau nei įstatyme leidžiami šeši mėnesiai.
„Pasistengsime greičiau nei per keturis mėnesius atlikti“, – teigė R. Andrijauskas.
Dėl pavogtų „CityBee“ vartotojų duomenų vagystės tyrimą VDAI pradėjo antradienį.