Nuo ankstyvo ryto bankai sulaukia „CityBee“ klientų skambučių, šie nori užsiblokuoti mokėjimo korteles, mat bijo, kad jų duomenimis pasinaudos sukčiai.
„Man prie elektroninio pašto buvo pagrinde jungimaisi. Iš karto gauni pranešimą, tada visur persiržiūri slaptažodžius. Prisijungimus, išsivalai, užblokuoji tuos neleistinus trečiųjų šalių prisijungimus“, – pasakoja nukentėjęs Andrius Pelakauskas.
„CityBee“ klientai dalijasi atvejais, kai nutekėjus jų asmeniniams duomenims, sulaukė netikėtų prisijungimų prie savo socialinių tinklų paskyrų, elektroninių paštų, sulaukia neaiškių skambučių iš užsienio.
Maža to, žmonės jau telkiasi ir į grupes, planuoja ieškinį prieš „CityBee“ dėl žalos atlyginimo. Tokį grupinį ieškinį rengia Vartotojų aljansas. Tiesa, dar laukiama Valstybinės duomenų inspekcijos išvados dėl „CityBee“ duomenų saugos pažeidimų. Pasak Vartotojų Aljanso, jau apie tūkstantis žmonių nori pateikti ieškinį dėl žalos atlyginimo.
„Jie nori apsaugoti savo asmens duomenis, jie keičia vairuotojo pažymėjimus, kreipiasi į įvairias institucijas tam, kad niekas nepasinaudotų jų tapatybės duomenimis, nepasiimtų vartojimo kreditų. Kad nenusipirktų prekių pasinaudojant jų vardu“, – sako Vartotojų aljanso teisininkė Daiva Dumčiuvienė.
Kiti gi duomenų nutekinimu pasipiktinę klientai jau pareiškė pretenziją pačiai „CityBee“, tokių asmenų yra daugiau kaip tūkstantis. Jie reikalauja per 30 dienų atlyginti neturtinę žalą, kurios suma siekia 300 eurų. Tiesa, pasak duomenų paviešinimo istoriją stebinčių advokatų kol kas labai sunku paskaičiuoti, kokią žalą patyrė tie asmenys, kurių duomenys buvo nutekinti.
„Čia kalbame apie neturtinę žalą, tai kaip juos paskaičiuoti, nes duomenys nutekėjo, bet aš jokios žalos nepatyriau, niekas mano duomenimis nepasinaudojo, niekas neprisijungė. Na, ir ką dabar daryti su tais duomenimis“, – pasakoja bendrijos AVOCAD advokatas Egidijus Langys.
Tiesa, nerimaujančius klientus skuba raminti Lietuvos bankas ir tikina, kad pasinaudoti paviešintais duomenimis ir pasiimti greitąjį kreditą ar paskolą tikimybė yra maža. O grėsmė kiltų tik tokiu atveju, jei sukčiai tiesiogiai skambintų žmogui ir prašytų padiktuoti savo prisijungimo duomenis prie elektroninės bankininkystės. Be to, žmonės tam tikruose tinklapiuose gali užblokuoti galimybę gauti kreditus ar paskolas.
„Mes žinome, kad nutekėjo informacija apie vairuotojo pažymėjimo numerį ir galiojimo datą. Tai vien su tais duomenimis atsidaryti sąskaitą ir pasiimti kreditą būtų, nenoriu sakyti, kad neįmanoma, bet tikimybė labai maža“, – teigia Priežiūros tarnybos direktorė Jekaterina Govina.
Lietuvos bankas jau kreipėsi ir į finansų rinkos dalyvius, kad jie atidžiai tikrintų kredito prašančiųjų tapatybes ir užkirstų kelią bandant pasinaudoti nutekėjusiais duomenimis.
Prabilo ir pats duomenis paviešinęs programišius. Daugiau kaip 100 tūkstančių „CityBee“ klientų duomenis paviešinęs programišius duomenų bazių dalijimosi platformoje „RaidForums“ susirašinėja anglų kalba, yra pasivadinęs slapyvardžiu “000”. Jis teigia, kad „CityBee“ tinkamai neapsaugojo savo duomenų, todėl juos pasiimti buvo itin paprasta. Tą patį faktą programišius papasakojo ir BNS naujienų agentūrai.
„CityBee" naudojo „Microsoft“ teikiamą „Azure Blob" duomenų saugyklos paslaugą. „Microsoft“ leidžia užtikrinti šių saugyklų saugumą su papildoma autentifikacija, tačiau „CityBee“ dėl kažkokios priežasties pasirinko to nepadaryti“, – teigia programišius.
Kibernetinio saugumo ekspertai pripažįsta, kad privačių asmenų duomenis „CityBee“ laikė be papildomos apsaugos.
„Kažkas tikrai labai aplaidžiai pasielgė su duomenimis, patalpino į tą vadinamą debesijos saugyklą ir ten jie buvo be slaptažodžių, nešifruoti, pasiekiami su minimaliais pajėgumais. Nereikėjo būti dideliu specialistu, kad tą visą duomenų bazę pasiekti“, – kalbėjo Kibernetinio saugumo specialistas Artūras Orševskis.
„Aš negaliu pasakyti, kad jie buvo apsaugoti, bet negaliu pasakyti, kad jie viešai gulėjo. Tai šiuo atveju aš manau, kad jie gulėjo saugiai tiek, kiek atrodė tam programuotojui ar administratoriui tam momentui“, – sako IT ekspertas Marius Pareščius.
„Citybee“ vadovas Kristijonas Kaikaris aiškina, kad tai yra įsilaužimas ir vagystė.
„Mes dabar vagies klausomės ir galbūt netgi bandome tikėti, ką jisai sako, tai yra netiesa. Nebuvo tie duomenys padėti taip viešai, kad būtų galima juos paimti ir pasiimti. Tai netiesa“, – sako „CityBee“ vadovas Kristijonas Kaikaris.
Nacionalinio kibernetinio saugumo centro vadovas ragina klientus kuo skubiau pasikeisti slaptažodžius, ypač jei jie buvo naudojami ir kitose paskyrose.
„Mes vertiname, kad tie slaptažodžiai, kurie paviešinti, užkoduoti silpnai ir juos atspėti galima lengvai, dekoduoti“, – pasakoja Kibernetinio centro vadovas Rytis Rainys.
Valstybinė duomenų inspekcija jau sulaukė daugiau nei dviejų tūkstančių žmonių skundų dėl duomenų paviešinimo. Pasak inspekcijos vadovo, blogiausiu atveju įmonei gali grėsti milijoninė bauda.
„20 milijonų eurų bauda arba iki 4 procentų įmonės apyvartos, bet čia pačiu neatsakingiausiu atveju, kai tikrai pažeidimas rimtas, sudėtingas ir įmonė būtų veikusi visiškai aplaidžiai“, – teigia Valstybinės duomenų inspekcijos vadovas Raimondas Andrijauskas.
Šiuo metu inspekcija dėl duomenų paviešinimo atlieka tyrimą, kuris gali trukti net iki pusės metų. Tyrimą atlieka ir policija.
