Apžvalgininkas Skirmantas Malinauskas paviešino informaciją, kad internete įsilaužėliams yra prieinami didžiųjų šalies įmonių duomenys, pavyzdžiui, „Maximos“ darbuotojų patikros sistema, internetinės parduotuvės „varle.lt“ klientų duomenys.
„Gyvename skaitmeniniame amžiuje, kai kalbame apie duomenis, galvojame, kad tai yra susiję su IT reikalais, programavimu. (...) Kai, pavyzdžiui, nuvaro jūsų automobilį, iškart suprantate, kad jo neturite. Kai iš jūsų pavagia duomenis, jūs to nė nepastebite“, – sekmadienį publikuotame vaizdo įraše platformoje „YouTube“ kalbėjo S. Malinauskas.
Taip pat skaitykite
Informaciją apie didžiųjų įmonių duomenų nutekėjimo atvejus S. Malinauskui perdavė jo šaltinis. Tinklaraštininkui jis pateikė įmonių „Unipark“, „Maxima“, „varle.lt“, „Telia“, „Fastlink“, „Kardiolitos klinikų“ ir kitų nutekintus duomenis.
„Unipark“ sistemoje, kuri valdo aibę aikštelių Vilniuje ir ne tik, įsilaužus į sistemą ir paspaudus vieną mygtuką, vartai pakyla. Mano automobilio numeriai buvo surasti įsilaužus į „Švaros brolių“ duomenų bazę, ten nutekėjusi informacija apie mano žmoną ir kitus klientus“, – sakė jis.
S. Malinauskas pabrėžė, kad „Unipark“ turi automobilio valstybinio numerio duomenis, tačiau, gavus informaciją iš „Švaros brolių“, kas yra automobilio valdytojas, galima patikrinti, į kokias aikšteles atvyksta konkretus žmogus.
Kitas pavyzdys – S. Malinauskui buvo atsiųstas „Maximos“ naudojamos sistemos darbuotojų blaivumui tikrinti išrašas.
„2024 m. rugpjūčio 29 d. sistemoje matomas darbuotojo ID, vardas, pavardė, padalinys, tikrintų darbuotojų blaivumas. Taip pat jų veidas turi būti atpažintas, kitaip jie nepateks į patalpas. Tokia informacija yra ypač jautri ir turėtų būti tinkamai saugoma, bet yra prieinama“, – vardijo apžvalgininkas.
S. Malinauskas dalijosi nutekėjusia informacija ir iš internetinės parduotuvės „varle.lt“.
„Užsakymo puslapyje paieškos rezultatų yra 386 tūkst. Matoma kliento vardas ir pavardė, užsakymo numeris, paskutinė informacija užfiksuota rugsėjo 3 d. Vadinasi, duomenys teka, spragos egzistuoja“, – sakė jis.
Užsakymo puslapyje paieškos rezultatų yra 386 tūkst. Matoma kliento vardas ir pavardė, užsakymo numeris, paskutinė informacija užfiksuota rugsėjo 3 d. Vadinasi, duomenys teka, spragos egzistuoja.
S. Malinauskas
Jis nurodė ir įsilaužėliams prieinamą informaciją apie mobiliojo ryšio operatoriaus „Telia“ automobilių rezervavimo sistemą.
„Jeigu tokie duomenys patenka į hakerių rankas, matyt, yra apie ką susimąstyti. Matomi asmenų vardai ir pavardės, telefonų numeriai, paslėpti automobilių numeriai“, – sakė S. Malinauskas.
Jo teigimu, įsilaužėliams prieinamos ir telekomunikacijų paslaugų įmonės „Fastlink“, pastatų priežiūros, daugiabučių administravimo įmonės „Santjana“ sutartys.
„Yra prieinamos sutartys, jose matoma informacija. Įmonės [„Santjana“] klientai – Lietuvos bankas, Lietuvos centrinis valstybės archyvas, Lietuvos paštas, Lietuvos radijo ir televizijos centras, LR Seimo kanceliarija, (...) Generalinė prokuratūra, Ryšių reguliavimo tarnyba, Vyriausybės kanceliarija, Muitinės departamentas“, – vardijo S. Malinauskas.
Apžvalgininkas skelbė ir Vytauto Didžiojo universiteto (VDU) informaciją, kurioje matoma 3,8 tūkst. kontaktų, jie paskutinį kartą sinchronizuoti rugsėjo 2 d. Taip pat, jo teigimu, prieinamos skiltys apie sutartis, sąskaitas, personalą.
S. Malinauskas sakė, jog yra pasiekiama informacija ir apie jo sveikatos duomenis. Pasak apžvalgininko, jie nutekėjo, nes anksčiau buvo įsilaužta į „Kardiolitos klinikų“ sistemą.
Įmonės ėmėsi skubių priemonių
LRT.lt kreipėsi į S. Malinausko vaizdo įraše minimas įmones.
Parduotuvės „Varle.lt“ įkūrėjas Marius Butauskas LRT.lt teigė, kad dar sekmadienį pradėjo IT tyrimą, kad įmonėje išsiaiškintų daugiau informacijos.
„Tuo metu nuo šiandien pakeitėme visiems darbuotojams slaptažodžius, pridedame 2FA (dviejų dalių autentifikavimo sistemą – LRT.lt) ir blokuojame nežinomus IP“, – sakė jis.
Nuo šiandien pakeitėme visiems darbuotojams slaptažodžius, pridedame 2FA (dviejų dalių autentifikavimo sistemą – LRT.lt) ir blokuojame nežinomus IP.
„Varle.lt“
„Telios“ atstovas Audrius Stasiulaitis LRT.lt tvirtino, kad įmonės darbuotojams skirto elektromobilių parko rezervacijos sistema nėra vidinė įmonės platforma.
„Tai yra mūsų išorės partnerio teikiama paslauga. Dėl asmens duomenų pažeidimo kreipėmės į šios paslaugos teikėjus ir patys pradėjome vidinį tyrimą. Anksčiau jokių pranešimų ar panašių atvejų su šia automobilių rezervacijos sistema nėra buvę“, – sakė jis.
Anot jo, bendrovė iš karto kreipėsi į savo automobilių rezervacijos platformos paslaugų teikėją su rekomendacijomis ir gairėmis dėl būtinų saugumo priemonių taikymo.
„Tuo pačiu informavome ir savo darbuotojus dėl papildomų saugumo priemonių naudojantis šia platforma“, – kalbėjo A. Stasiulaitis.
Bendrovės „Santjana“ Kauno regiono vadovas Aidas Gilevičius LRT.lt teigė, kad veiklą vykdo jau 30 metų, bet tai yra pirmas kartas, kai įsilaužiama į įmonės vieną iš serverių.
„Jokių signalų, kad kažkokie duomenys galėjo būti nutekėję anksčiau, įmonė neturi. Pažymėtina, kad jūsų minimos sutartys ir sutartys su kitomis institucijomis yra vieša informacija. Bet kuris asmuo gali atidaryti viešųjų pirkimų portalą ir, suvedęs tiekėją ir / ar užsakovą, matyti visas sutartis ir jų turinį“, – akcentavo jis.
Informaciją apie S. Malinausko tyrimą įmonė sužinojo pirmadienio rytą.
„Konkretaus veiksmų plano dar neturime sudarę, bet kreipėmės į IT specialistus bei serverių paslaugas UAB „Santjana“ teikiančius tiekėjus su prašymu pateikti konkrečius veiksmus, kuriuos atlikę galėtume užkardyti sistemos trūkumus“, – kalbėjo A. Gilevičius.
VDU LRT.lt teigė, kad į universiteto sistemą įsilaužta nebuvo, buvo nutekinti vieno vartotojo duomenys iš jo asmeninio kompiuterio.
„Tikėtina, jog prisijungimo duomenys iš vartotojo buvo paimti naudojant „phishing“ (būdas išvilioti konfidencialius duomenis per netikrus adresus – LRT.lt) arba iš jo asmeninio kompiuterio dėl jame esančio viruso. Su jo prisijungimo vardu ir slaptažodžiu pasiekiama informacija tik apie tam tikrus kontaktus ir tam tikrus viešuosius pirkimus“, – sakoma komentare.
Tikėtina, jog prisijungimo duomenys iš vartotojo buvo paimti naudojant „phishing“ (būdas išvilioti konfidencialius duomenis per netikrus adresus – LRT.lt) arba iš jo asmeninio kompiuterio dėl jame esančio viruso.
VDU
Kilus incidentui, vartotojo paskyra buvo nedelsiant užblokuota.
„Yra buvęs panašus atvejis, kai vartotojai buvo nutekinę savo prisijungimo duomenis, tačiau atlikę tyrimą neradome jokių požymių apie nutekintus duomenis“, – komentavo VDU.
Šį incidentą universitetas vertina kaip įvykusį dėl žmogiškojo faktoriaus.
„VDU IT skyrius apie įvykį informavo ir informuos visas tarnybas ir organizacijas, atsakingas už saugą ir asmens duomenų apsaugą (...). Įvykis yra tiriamas. Siekiant užkirsti kelią, darbuotojams bus rengiami papildomi mokymai, kaip valdyti, saugoti ir neatskleisti savo prisijungimo duomenų“, – rašoma komentare.
Prekybos tinklo „Maxima“ Komunikacijos ir korporatyvinių ryšių departamento vadovė Indrė Trakimaitė-Šeškuvienė LRT.lt informavo apie priimtus sprendimus.
„Laidoje paviešinta sistema yra išorinių partnerių programinė įranga (angl. software as a service), kurios paslaugas „Maxima“ perka sandėlio darbuotojų blaivumui registruoti. Jau vakar ryte sureagavome į paviešintą informaciją, informavome išorės partnerį. Nedelsdami apribojome visų darbuotojų, kurie galėjo jungtis prie išorinės sistemos, į kurią suvedami sandėlyje dirbančių darbuotojų blaivumo patikrinimo duomenys, paskyras“, – sakė ji.
Anot atstovės, toliau su paslaugos teikėju yra vykdomas tyrimas, kad išsiaiškintų visas faktines aplinkybes.
„Artimiausiu metu apie situaciją informuosime VDAI. Ankščiau tokių situacijų nesame fiksavę“, – sakė I. Trakimaitė-Šeškuvienė.
Nedelsdami apribojome visų darbuotojų, kurie galėjo jungtis prie išorinės sistemos, į kurią suvedami sandėlyje dirbančių darbuotojų blaivumo patikrinimo duomenys, paskyras.
„Maxima“
Išmoko skaudžią pamoką
Įmonės „PRO BRO Express“, valdančios prekių ženklą „Švaros broliai“, atstovė Monika Rožytė sakė, kad 2022 m. buvo nutekinti penkių Vilniuje veikiančių švaros centrų rezervacijos sistemos duomenys.
„Tuo metu iškart ėmėmės veiksmų, informavome klientus, apie situaciją pranešėme viešai, informavome Valstybinę duomenų apsaugos inspekciją (VDAI), atlikome visus būtinus veiksmus, kad, kiek įmanoma, sumažintume poveikį“, – sakė ji.
Nepaisant to, nesusistemintus atskirus nutekintus duomenis (tokius kaip klientų vardas, pavardė, el. paštas, automobilio valstybinis numeris, rezervacijos švaros centre data) buvo galima įsigyti nelegaliai veikiančioje interneto svetainėje.
„Deja, tokią informaciją iš nelegalių svetainių yra labai sunku pašalinti net teisėsaugai. Iškart po incidento, dar 2022 m., ėmėmės papildomų saugumo sprendimų – pasitelkus tiek vidinių IT specialistų komandą, tiek išorinius saugumo specialistus, buvo patikrinta ir testuota rezervacijų sistema, įvestos papildomos saugumo priemonės, o pačios sistemos veikimas atnaujintas tik visiškai įsitikinus jos saugumu. Skaudžiai išmokome pamoką ir duomenų saugumui keliame aukščiausius reikalavimus“, – sakė M. Rožytė.
Vykdo tyrimus
Įmonė „Fastlink“ LRT.lt teigė, kad šiuo metu atlieka tyrimą.
„Dedame visas pastangas, kad kuo skubiau nustatytume detalias įvykio aplinkybes. Nustatę detalų įvykio mastą, išsiaiškinę visas situacijos priežastis, priklausomai nuo rezultatų, imsimės visų būtinų priemonių“, – sakoma komentare.
Pasak įmonės, joje yra įdiegti aukštos kokybės apsaugos standartai, tad dėl jų patikimumo abejonių nekilo.
„Tačiau turime dalykinių santykių su įvairiais trečiaisiais asmenimis ir su trečiaisiais asmenimis sudarome sutartis. Manome, kad būtent trečiųjų asmenų saugumo spragos ir galėjo lemti dalies duomenų neteisėtą perėmimą“, – teigė „Fastlink“.
Įmonės „Unipark“ rinkodaros vadovas Laurynas Globys sakė, kad incidentas nėra susijęs su „Unipark“ sistemų nulaužimu.
„Prisijungimas prie įraše minimos aikštelių valdymo sistemos yra suteiktas tik konkretiems paslaugų teikėjams, t. y. mūsų partneriams, kurie padeda su stovėjimo aikštelių administravimu bei priežiūra. Prisijungimai prie sistemos yra griežtai ribojami, todėl prisijungimas prie sistemos iš išorės (trečiųjų asmenų) nėra galimas. Prisijungimui prie sistemos yra naudojama dviejų lygių apsauga“, – sakė jis.
Atstovas sakė, kad toliau kartu su partneriais nagrinės situaciją norėdami suprasti, kaip šie duomenys galėjo patekti į trečiųjų asmenų rankas.
„Tik sužinojus apie šį incidentą, minėtam partneriui buvo užblokuotos prieigos prie aikštelių valdymo sistemos. Norime nuraminti ir patvirtinti, jog visi mūsų įmonės ir klientų duomenys yra saugūs, o incidentas šiuo metu yra valdomas. Imsimės būtinųjų prevencinių priemonių, kad tokie incidentai ateityje daugiau nepasikartotų. Klientų duomenų apsauga mums visada buvo, yra ir bus aukščiausias prioritetas“, – kalbėjo L. Globys.
„Kardiolitos klinikų“ IT ir inovacijų direktorius Arūnas Penkaitis LRT.lt sakė, kad tiria viešai pasirodžiusią informaciją.
„Buvo galimai neteisėtai prisijungta prie išorinio IT paslaugų teikėjo teikiamos informacinės sistemos, kurią naudoja mūsų klinika, kaip ir daugelis kitų Lietuvos sveikatos įstaigų. (...) Nedelsdami, t. y. vakar, kai tik viešai pasirodė informacija, ėmėmės naudojamos informacinės sistemos ir joje esančių duomenų saugumo sustiprinimo priemonių, kad užkardytume galimus piktavališkus bandymus ateityje“, – sakė jis.
Anot vadovo, bus siekiama nustatyti visas galimos neteisėtos prieigos priežastis bei kitas aplinkybes ir pagal tyrimo išvadas imsimės kitų veiksmų situacijai spręsti bei duomenų saugumui sustiprinti.
Šiemet išsiųsti 200 pranešimų apie nutekintus duomenis
Nacionalinis kibernetinio saugumo centras (NKSC) LRT.lt teigė, kad situacija, apie kurią yra kalbama reportaže, įstaigai yra žinoma.
„NKSC nuolatos ieško ir analizuoja informaciją apie paviešintus nutekintus asmens duomenis, taip pat tokia informacija yra gaunama iš atsakingų pranešėjų bei partnerių užsienyje“, – rašoma komentare.
Teigiama, kad dažniausiai duomenys būna pavogti iš gyventojų asmeninių išmaniųjų įrenginių arba gauti įsilaužus į silpnai apsaugotas organizacijų informacines sistemas.
„Tokia situacija susidarė, nes dalis organizacijų vis dar taiko nepakankamas kibernetinės apsaugos priemones: prie viešai pasiekiamų informacinių sistemų leidžia prisijungti naudojant silpnus slaptažodžius, nėra periodinio slaptažodžių keitimo politikos ir jie yra nekeičiami ilgą laiką, nenaikinamos senos ir nebegaliojančios paskyros, netaikomas kelių veiksmų tapatybės patvirtinimo procesas“, – rašoma atsakyme.
Dalis organizacijų vis dar taiko nepakankamas kibernetinės apsaugos priemones: prie viešai pasiekiamų informacinių sistemų leidžia prisijungti naudojant silpnus slaptažodžius, nėra periodinio slaptažodžių keitimo politikos ir jie yra nekeičiami ilgą laiką.
NKSC
NKSC komentavo, kad nuolat informuoja visas organizacijas apie jų paviešintus nutekintus duomenis, didžiausias dėmesys skiriamas kritines paslaugas teikiančioms organizacijoms.
„Vien 2024 m. NKSC išsiuntė apie 200 pranešimų apie šimtus tūkstančių nutekintų duomenų. Taip pat tenka pripažinti, kad šiuo metu ne visos NKSC pranešimus gavusios organizacijos imasi reikiamų apsaugos priemonių“, – tvirtinama komentare.
Šių metų spalio viduryje, įsigaliojus naujai Kibernetinio saugumo įstatymo redakcijai, NKSC įgis daugiau teisinių priemonių ir galės įpareigoti organizacijas skubiai įgyvendinti kibernetinio saugumo nurodymus.
Šiuo metu ne visos NKSC pranešimus gavusios organizacijos imasi reikiamų apsaugos priemonių.
NKSC
„Dabar galime tik informuoti apie įvykusius incidentus ir pateikti rekomendacijas, kokių užkardymo priemonių įmonės turėtų imtis. Gyventojams taip pat stinga bazinių kibernetinio saugumo žinių: naršyklėje išsaugomi prisijungimų duomenys prie svarbiausių platformų, naudojama nelegali programinė įranga, periodiškai nediegiami programinės įrangos atnaujinimai, nenaudojamos antivirusinės programos, vengiama naudoti kelių faktorių tapatybės patvirtinimą“, – vardijo NKSC.
