Mokslas ir IT

2020.03.04 17:28

Duomenų nutekėjimo skandalas: aiškėja, kad nutekėti galėjo ir mokėjimo kortelių duomenys

Tautvydas Lukaševičius, LRT.lt2020.03.04 17:28

LRT.lt šaltinių teigimu, nesaugi galėjo būti ir programėlių „m.Ticket“, „m.Parking“ vartotojų mokėjimo kortelių informacija. Kibernetinio saugumo ekspertų teigimu, tai įmanoma, tačiau reikia atlikti konkrečius testus. „Susisiekimo paslaugos“ pranešė, kad programėlės jau veikia, tačiau kol kas stabdo atsiskaitymą mokėjimo kortelėmis.

LRT.lt šaltinių teigimu, bėda buvo kur kas didesnė, nes iš „Susisiekimo paslaugų“ serverių buvo galima gauti ir mokejimo kortelių duomenis: kortelės numerį, galiojimo datą, el. paštą, asmens vardą, pavardę bei adresą.

Turint vartotojo prisijungimo numerį, iš „Susisiekimo paslaugų“ serverių buvo galima gauti su tuo numeriu susietas visas mokėjimo korteles.

Kibernetinio saugumo ekspertė Zoja Antuchevič LRT.lt sakė, kad dėl tokių galimų spragų reiktų atlikti testavimą ir tada problemą būtų galima išspręsti. „Negaliu būti tikra 100 proc. Reikalinga detali analizė“, – susidariusią situaciją ir galimybę, kad buvo galima pasiekti mokėjimo kortelių duomenis, komentavo ekspertė.

„Gaila, kad investuojant į inovacijas ir paprastumą neskiriama pakankamai dėmesio saugumui, nes tai negeneruoja pajamų. Vis dar pamirštama, kad kibernetinis saugumas yra neatskiriama šių dienų verslo procesų dalis“, – sakė ji.

Kol kas blokuoja atsiskaitymą kortelėmis

„Susisiekimo paslaugos“ komunikacijos vadovė Miglė Bielinytė aiškino, kad, atradus spragą dėl HTTP HE technologijos saugumo, kuri naudojama prekių ir paslaugų apmokėjimui per mobiliuosius operatorius, buvo atlikti sistemos „m.Transportas“ pakeitimai.

Šiai sistemai priklauso „m.Ticket“, „m.Parking“ programėlės.

„Skubius pakeitimus „Susisiekimo paslaugos“ įgyvendino šiandien, programėlių „m.Ticket“, „m.Parking“ versijos buvo paruoštos testavimui ir patikrintos, reikalingus veiksmus atliko ir toliau atlieka operatoriai. Patys imamės ir papildomų veiksmų sistemos saugumui stiprinti. Naudotis programėlėmis šiuo metu gali dalis visų naudotojų, „Tele2“ pusėje dar fiksuojami laikini sutrikimai. Informaciją atnaujinsime, kai tik jie bus pašalinti“, – aiškino ji.

„Maksimaliai tikriname visas sistemas ir jų saugumo mechanizmus. Kol vyksta tikrinimai „m.Ticket“, programėlėje laikinai blokuojame atsiskaitymo kortelėmis galimybę. Ją taikysime iki tol, kol nebūsime visiškai tikri, kad visi asmens duomenys yra visiškai saugūs“, – pridūrė M. Bielinytė.

Operatoriai: bėda programėlėse

„Susisiekimo paslaugų serveryje (-iuose), akivaizdu, yra bėdos ir iš ten blogiečiai gali bandyti išsikrapštyti klientų duomenis. Tokiam duomenų išsikrapštymui reikalingos kelios sąlygos, kai kurie operatoriai vieną iš tų sąlygų iš dalies eliminavo visiškai išjungdami tokio tipo paslaugas klientams“, – sakė „Telia“ atstovas Audrius Stasiulaitis.

Pasak jo, „Telia“ atveju, kliento ID neatiduodamas nekoduotas, todėl kliento ID parinkinėjimas yra daug komplikuotesnis ir tam reikia rimtų įsilaužėlių.

Trečiadienį „Tele2“ pirmoji pranešė, kad stabdo šias paslaugas, nes klientų duomenys nebuvo apsaugoti.

„Bitės“ atstovų teigimu, problema buvo pačiose programėlėse ir jie padeda „Susisiekimo paslaugoms“ jas spręsti.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt