Apie tai – TV3 žinių reportaže.
„Švaros brolių“ centre automobilio plovimo, valymo paslaugas galima užsisakyti ne tik atvažiavus į vietą, bet ir internetu, pavyzdžiui, naudojantis išmaniąja programėle. Užtenka palikti savo vardą, pavardę, valstybinius numerius, elektroninio pašto adresą, telefono numerį. Tačiau verslui nepavyko apsaugoti šiuos asmens duomenis – įsilaužė programišiai.
„Bendrovė sužinojo apie incidentą vakar apie 10 valandą, nutekėjo 5 švaros centrų rankinių plovyklų, veikiančių Vilniuje, rezervacijos sistemos duomenys“, – sakė įmonės direktorė Lina Žagarienė.
Seniausi duomenys siekia 2019 metus. Nutekėjo apie 50 tūkstančių „Švaros brolių“ klientų duomenys, visus nukentėjusiuosius bendrovė apie incidentą informavo SMS žinutėmis.
„Pastaruoju metu buvo ne viena ir ne dvi tos istorijos. Manau, ant to pačio grėblio užlipo kaip ir daugelis kitų įmonių. Pamiršta pakankamai įdėti pastangų apsaugant duomenis“, – nepasitenkinimo neslėpė vienas „Švaros brolių“ klientas.
„Niekas nuo to nepasikeitė. Oras geras, nuotaika gera. Nematau jokių problemų“, – optimizmo neprarado kitas.
Kitų „Švaros brolių“ verslų – tunelinių plovyklų, patalpų valymo verslų, savitarnos plovyklų – klientų duomenys, anot bendrovės, saugūs. Pavogti elektroninio pašto adresai ir telefonų numeriai gali atsidurti sukčių rankose, kurie vėliau gali bandyti iš plovyklos klientų vilioti pinigus.
„Tai yra sukčiavimas, kai yra siunčiami laiškai, bandoma apsimesti tam tikromis įmonėmis. Vartotojai paspaudžia nuorodą suklastotą, kuri nukreipia į netikrą puslapį, kuris atrodo identiškai kaip banko puslapis, gali būti ir kitos sistemos“, – aiškino „ESET Lietuva“ inžinierius Lukas Apynis.
Įtaria Rusiją
Įmonės atstovai spėlioja, kam galėjo prireikti informacijos apie jų klientus.
„Kad kažkas kažką nulaužė, tai faktas. Tiek žinome, kad buvo įsilaužta į vieną iš duomenų bazių ir buvo nutekinti šitie duomenys. Numanome, kad tai gali būti įsilaužėlis iš Rusijos teritorijos, nes IP adresas yra būtent jo Rusijoje matomas. Nuotolinė kibernetinė ataka“, – kalbėjo L. Žagarienė.
Bendrovė kreipėsi ir į kibernetinio saugumo centrą. Tiesa, jis šiuo metu negali patvirtinti, kad pogramišiai „Švaros brolius“ apšvarino sėdėdami Rusijoje.
Negalime tvirtinti nei kurią dieną tiksliai buvo pavogti duomenys, nei kas juos pavogė. Šiai dienai vyksta tyrimas, kurį vykdo ir pati įmonė.
Kibernetinio saugumo centras pavogtų duomenų kol kas dar nesieja su praėjusios savaitės rusų atakomis prieš Lietuvos institucijų, pavyzdžiui, Užsienio reikalų ministerijos, Valstybinės mokesčių inspekcijos, Lietuvos oro uostų interneto puslapius, tačiau atkreipia dėmesį, kad nukentėjusio verslo gali būti ir daugiau.
„Didžioji dalis verslo įstaigų neprivalo pateikti pranešimų Nacionaliniam kibernetinio saugumo centrui, todėl tikėtina, kad buvo atakuotos, ne tik valstybės įstaigos, bet ir privataus verslo bendrovės, kurios galbūt nepranešė apie vykdytas DDoS atakas – sakė kibernetinio saugumo centro laikinasis vadovas Jonas Skardinskas.
Apsaugos primena kiaurą rėtį
Kelias dienas Kibernetinio saugumo centras nebefiksuoja išaugusio kibernetinių atakų skaičiaus, tačiau ekspertai ragina neatsipalaiduoti, esą tiek privataus verslo, tiek valstybės apsaugos nuo įvairiausių atakų primena kiaurą rėtį.
DDoS atakos. Nuo DDoS atakų apsisaugoti yra begalė tiek programinės įrangos sprendinių, tiek tiekėjų, bet kažkodėl kritinės sistemos, kaip mokesčių inspekcijas, Regitra, dar kažkas galvoja, kad jiems tai niekada negresia. Yra visa puokštė klaidų ir apsileidimo, nes nežinojimu būtų sunku vadinti“, – kalbėjo „Infobalt“ vadovas Mindaugas Ubartas.
Ekspertas priduria, kad Lietuvoje yra daug pavyzdžių, kai privatus verslas ar valstybinės institucijos neatsargiai elgiasi su duomenimis, naudoja pasenusias apsaugas ir nesaugią programinę įrangą.
„Reikia žiūrėti, ar mes turime visus naujausius atnaujinimus savo tinkluose ir programinėje įrangoje. Reikia žiūrėti, kada paskutinį kartą buvo keisti slaptažodžiai, ar pas mus yra 2 faktorių autentifikacija sudėta. Ar mes patys kaip žmonės naudojame, mūsų įstaigos ar naudoja“, – sakė M. Ubartas.
Aš dabar tikrai nesileisčiau į diskusiją, kas yra labiau skylėtas. Ta diskusija niekur neveda. Kviesčiau visus nepamesti to tempo ir tvarkytis savo informacines sistemas“, – mažiau griežtas buvo J. Skardinskas.
Dėl „Švaros brolių“ klientų asmens duomenų saugumo tyrimą pradėjo ir Valstybinė duomenų apsaugos inspekcija.
Visą reportažą žiūrėkite straipsnio pradžioje.
