Socialiniame tinkle „Telegram“ pasirodė žinia, kad galėjo būti paviešinti „Iki“ lojalumo kortelių klientų duomenys. Prekybos tinklo atstovė patikino – nutekėjo ne jų sistemos duomenys, o bandoma prisijungti su anksčiau nutekintais duomenimis. Su šia problema susidūrė ir „Kesko Senukai Digital“ bei „Rimi“.
Prekybos tinklo „Iki Lietuva“ atstovė Vaida Budrienė LRT.lt teigė, kad įmonės darbuotojus pasiekė informacija, jog per „Telegram“ kanalą vykdoma galbūt neteisėta veikla – bandoma prisijungti prie kai kurių prekybos įmonių lojalumo sistemų.
„Bandoma perduoti lojalumo programos dalyvių prisijungimo prie paskyrų duomenis, kurie galbūt paimti iš kitų sistemų asmens duomenų pažeidimų metu nutekintų duomenų bazių, tikintis, kad tas pats slaptažodis ir el. pašto adresas bus naudojamas ir prieigai prie lojalumo programos paskyros. Bendrovė dėl šių veiksmų kreipėsi į policiją ir Valstybinę duomenų apsaugos inspekciją. Abi institucijos patvirtino, kad pradėjo tyrimus“, – teigė ji.
Anot V. Budrienės, „Iki“ savo ruožtu nedelsdama atliko informacinių sistemų patikrą.
„Jokių įsilaužimo į sistemas požymių nebuvo aptikta, tai svarbiausia žinia „Iki“ lojalumo programos dalyviams. Taip pat sustiprinta pirkėjų lojalumo programos dalyvių paskyrų apsauga ir imtasi kitų saugumo priemonių. Prisijungiant prie paskyros internete naudotojo tapatybė bus tikrinama taikant dviejų žingsnių autentifikaciją“, – sakė V. Budrienė.
Pasak jos, registruojant naujus programos dalyvius ar seniesiems atnaujinant prisijungimo slaptažodžius, bus taikomi dar griežtesni slaptažodžių sudėtingumo ir saugumo reikalavimai.
Klientams išsiųstame „Iki“ laiške nurodoma, kad „galėjo būti mėginimų prisijungti prie jūsų lojalumo programos paskyros su el. pašto adresu ir slaptažodžiu, paimtu iš kitų sistemų asmens duomenų pažeidimų metu nutekintų duomenų bazių, tikintis, kad tas pats slaptažodis ir el. pašto adresas bus naudojamas ir prieigai prie lojalumo programos paskyros“.
Įmonė klientams taip pat akcentavo, kad duomenys nutekėjo ne iš „Iki Lietuva“ sistemų.
„Atsižvelgiant į tai, kad „Iki Lietuva“ nuolat rūpinasi klientų ir jų duomenų saugumu bei imasi papildomų priemonių jam užtikrinti, maloniai prašome Jūsų prisijungti prie „Iki“ lojalumo programos paskyros ir atnaujinti prisijungimo slaptažodį. Kad Jūsų duomenys būtų apsaugoti, slaptažodžiams nuo šiol taikome griežtesnius reikalavimus. Naujasis Jūsų paskyros slaptažodis turėtų būti netrumpesnis nei 8 simbolių, iš kurių bent vienas turėtų būti didžioji raidė, taip pat bent vienas skaitmuo“, – nurodoma instrukcija klientams skirtame laiške.
„Kesko Senukai Digital“ LRT.lt komentavo, kad senukai.lt efektyviai užkirto kelią pasipelnyti iš svetimų paskyrų ketinusiems asmenims. Jokie klientų duomenys iš bendrovės nenutekėjo.
„Sukčiai galėjo bandyti tai padaryti pasinaudodami iš kitų interneto portalų gauta prisijungimo informacija, kurią, kaip mes manome, dalis mūsų klientų naudojo kitose svetainėse“, – teigė įmonė.
Anot jos, atsižvelgdama į tai, kas vyksta rinkoje, visoms senukai.lt paskyroms bendrovė taiko papildomas apsaugos priemones ir paprašė visų klientų atnaujinti prisijungimų slaptažodžius.
„Kilus klausimų, kviečiame kreiptis į mūsų klientų aptarnavimo centrą. Dėl neteisėtų veiksmų kreipėmės į teisėsaugos institucijas“, – sakė bendrovė.
Pirmoji apie „Iki“ klientų duomenų nutekinimą antradienį pranešė Alytaus radijo stotis „FM99“. Pasak jos, pirmadienį galėjo būti nutekinta ir „Telegram“ tinkle paviešinta apie 1,5 tūkst. prekybos tinklo klientų duomenų: vardai, pavardės, gimimo data, gyvenamosios vietos ir elektroninio pašto adresai, „Iki“ paskyros slaptažodžiai.
„FM99“ teigė gavusi dalies sąrašuose esančių asmenų patvirtinimą, kad nurodyti duomenys teisingi.
Prekybos tinklo „Rimi“ atstovė Eglė Krasauskienė LRT.lt teigė, kad įmonė užregistravo saugumo incidentą, susijusį su keliais šimtais „Mano Rimi“ klientų paskyrų Lietuvoje.
„Jokių duomenų pažeidimų iš „Rimi“ sistemų ar duomenų bazių nebuvo. Pastebėjome neteisėtą prieigą prie kelių klientų paskyrų, naudoti duomenys, gauti iš anksčiau nutekėjusių duomenų (el. pašto adresų ir slaptažodžių) per saugumo pažeidimus, kurie niekaip nesusiję su „Rimi“, – teigė E. Krasauskienė.
Anot jos, klientų informacijos saugumas ir apsauga – svarbiausias prioritetas.
„Apie šią neteisėtą veiklą informavome Valstybinę duomenų apsaugos inspekciją ir policiją, taip pat greitai susisiekėme su galbūt paveiktais klientais, prašėme jų iš naujo nustatyti slaptažodžius kaip atsargumo priemonę. Šiuo metu ataka sėkmingai sušvelninta ir mums pavyko įdiegti priemones, kad apsaugotume klientų paskyras“, – sakė įmonės atstovė.
E. Krasauskienė tvirtino, kad tokia ataka žinoma kaip „Credential stuffing attack“ arba „Credential matching attack“, kai duomenų bazė nebuvo užpulta, tačiau paveiktos kelios klientų paskyros.
„Neteisėta prieiga prie kelių klientų paskyrų galbūt įvyko, nes klientai „Rimi“ sistemoje galėjo naudoti tuos pačius prisijungimo duomenis kaip ir kitose svetainėse, iš kurių įvyko duomenų nutekėjimas ir dėl to šie duomenys tapo vieši. Incidentas niekaip nebuvo susijęs su „Rimi“ sistemų saugumu“, – tvirtino pašnekovė.
Valstybinė duomenų apsaugos inspekcija LRT.lt teigė, kad yra gavusi informaciją iš „Iki“ ir „Rimi“ dėl šios situacijos.
„Šiuo metu inspekcija situaciją aiškinasi. Norėtume atkreipti dėmesį, kad ir patys vartotojai imtųsi aktyvių veiksmų, padedančių išvengti jų asmens duomenų nutekėjimo. Pirmiausia, rekomenduojama nenaudoti tų pačių prisijungimo slaptažodžių skirtingose elektroninių paslaugų (socialinių tinklų, internetinių parduotuvių, internetinės komunikacijos ir pan.) paskyrose. Tuo tarpu, jei asmens duomenų saugumo pažeidimas jau įvyko, reikėtų nedelsiant pasikeisti visų naudojamų elektroninių paslaugų paskyrose slaptažodžius“, – teigė inspekcija.
Ji pateikė svarbiausią informaciją, kokių saugumo priemonių turėtų imtis gyventojai:
- nenaudoti senojo slaptažodžio pakartotinai;
- slaptažodžius periodiškai keisti (bent jau kas pusmetį);
- naudoti stipresnius slaptažodžius, kuriuos sudarytų bent jau skaičiai, didžiosios ir mažosios raidės, įvairūs simboliai;
- jei yra galimybė, naudoti dviejų faktorių autentifikaciją;
- nesaugoti prisijungimo duomenų interneto naršyklėje;
- nesijungti prie savo paskyrų iš tretiesiems asmenims priklausančių ar nepažįstamų ar viešų įrenginių, viešo tinklo.
