Kibernetinio saugumo specialistai priduria, kad daug žalos internetiniai sukčiai gali pridaryti ir turėdami tik dalį duomenų.
Pavyzdžiui, pavogtus bendrovės klientų duomenis iš „Ignitis ON“ sulyginti su kitur pavogtais duomenimis. Pasak specialistų, taip sukčiai gali atrasti ir banko kortelių duomenis, ir telefonų numerius ar net slaptažodžius.
Daugiau apie tai – TV3 žinių reportaže.
„Dedame visas pastangas, kad galėtume susisiekti su visais klientais, informuoti juos ir atsiprašyti asmeniškai“, – teigia „Ignitis“ atstovė.
O atsiprašyti, pasak bendrovės „Ignitis“ atstovės, tikrai yra dėl ko. Savaitgalį į programišių rankas pateko elektromobilių įkrovimo stotelių „Ignitis ON“ vartotojų duomenys. Programišiai pasisavino maždaug 20-ies tūkstančių klientų vardus, pavardes, elektroninio pašto adresus, dalies vartotojų automobilių numerius.
„Labai svarbu, kad nebuvo kaupiama yra nėra nutekinta su mokėjimais susijusi informacija: nei banko sąskaitos numeris, nei mokėjimo kortelių duomenys“, – sako „Ignitis“ atstovė Laura Beganskienė.
Pasak „Ignitis“ atstovės, kiti jautrūs klientų duomenys į rankas programišiams nepakliuvo. Po programišių atakos, dalis vairuotojų kurį laiką negalėjo įkrauti automobilio, nes neveikė įkrovimo stotelės.
Nusavino ir žetonus
Negana to, programišiams pavyko nusavinti vartotojų autentifikavimo žetonų duomenis. Turėdami tokius žetonus vairuotojai atvykę į stotelę gali pradėti elektromobilio krovimą, už tai vėliau iš sąskaitos nurašomi pinigai. O tokiems duomenims patekus į piktavalių rankas...
„Galima sukurti tokią pat kortelę ir su ja autorizuoti svetimo vartotojo vardu. Tai aš manau, kad tokias korteles jie pakeis. Arba visiškai panaikins“, – aiškina kibernetinio saugumo specialistas Marius Pareščius.
Kol kas, pasak Ignitis atstovės, sprendimo dėl žetonų panaikinimo bendrovė dar nepriėmė. Tik paragino vartotojus prieš pradedant krauti elektromobilį naudotis mobiliąja programėle.
„Dedame visas pastangas, kad nebūtų pasinaudota klientų raktais klonuojant ar panašiai. Užblokuosime esant reikalui, naujus skirsime. – Bet dar kol kas jie nėra užblokuoti? – Ne, bet rekomenduojame klientams juos atsijungti“, – kalba I. Beganskienė.
Bendrovės teigimu, į programišių rankas nepakliuvo ir klientų asmens kodai, telefono numeriai. Tačiau specialistai prasitaria, kad net ir vardo bei pavardės žinojimas programišiams suteikia daug informacijos. Mat didelė dalis elektromobilių savininkų yra vidutines ar didesnes pajamas gaunantys žmonės.
„Apjungus pavogtus duomenis su kitais duomenimis, pavyzdžiui, „Filmai.in“ duomenų baze, kurioje buvo „email'ai“ ir slaptažodžiai, bet nebuvo kitų duomenų, tai taip galima identifikuoti tikruosius savininkus“, – pasakoja M. Pareščius.
Pasak Pareščiaus, taip programišiai gali susidaryti bendrą paveikslą ir vienu metu turėti ne tik klientų vardus bei pavardes, bet ir telefono numerius, asmens kodus.
„Aš manau, kad šiuo atveju yra pasinaudota programinės įrangos skyle, kuri atsirado ne taip jau seniai, manau, per paskutinį mėnesį tik. Ir problema yra globali, ji nėra nukreipta į konkrečią svetainę“, – sako kibernetinio saugumo specialistas.
Jau buvo tokio masto nutekinimas
Per pastaruosius kelerius metus Lietuvoje tai jau ne pirmas atvejis, kai programišiai iš įvairias paslaugas siūlančių įmonių pasisavina vartotojų duomenis. Tačiau tikriausiai vienas žymiausių atvejų – prieš trejus metus pavogti „Citybee“ klientų duomenys: vardai, pavardės, elektroninio pašto adresai, telefonų numeriai.
Tąkart už nutekintus duomenis ir nepakankamą asmens duomenų saugumą bendrovė sulaukė 110 tūkstančių eurų baudos. Tačiau tai dar ne pabaiga, apie pusketvirto šimto klientų bendrovei parengė jungtinį ieškinį, kur reikalauja atlyginti žalą dėl jų prarastų duomenų. Šiuo metu laukiama teismo tarpinio sprendimo.
„Mes prašome kiekvienam vartotojui tris šimtus eurų neturtinės žalos ir tada yra turtinės žalos reikalavimai, bet jie yra įvairaus dydžio, dažniausiai iki 50 eurų, nes žmonės keitėsi vairuotojų pažymėjimą arba kredito kortelę“, – kalba Vartotojų aljanso viceprezidentas Rytis Jokubauskas.
Saugumo specialistas priduria, kad „Citybee“ klientų pavogti duomenys ir dabar pasitarnauja internetiniams sukčiams, taip pat tolesnėse programišių atakose.
„Vartotojams yra siunčiamos žinutės, vartotojai gauna elektroninius paštus iš investicinių sukčių, kurie tuos kontaktinius duomenis naudoja apgaudinėti žmonėms, išvilioti iš jų pinigus“, – aiškina M. Pareščius.
Specialistai primena, kad internetiniai sukčiai tampa gudresni ir pavogtus asmens duomenis gali naudoti prieš pačius klientus. Kad ir atsiųsdami laišką ir prašydami užpildyti daugiau asmens duomenų, taip žadėdami, pavyzdžiui, pigesnį elektros tarifą.
Daugiau sužinokite vaizdo įraše, esančiame straipsnio pradžioje.
