„CityBee“ automobiliai. Dainiaus Labučio (ELTA) nuotr.

„CityBee“ vadovas Kristijonas Kaikaris sako, kad neverta tikėti dalies įmonės klientų asmeninius duomenis nutekinusio programišiaus teiginiais apie lengvai prieinamus „CityBee“ duomenis.
 
„Kiek galima tikėti nusikaltėliu, kuris padarė nusikaltimą, pavogė ir paviešino (duomenis – ELTA), ir pats prisipažino, kad siekė pasipelnymo, prašė už tai pinigų? (…) Kilo daug diskusijų apie tai, kad ta informacija buvo padėta taip, jog buvo prieinama viešai. Tačiau kaip dauguma žmonių supranta tą viešumą? Tai nėra koks oranžinis konteineris, padėtas Katedros aikštėje, kur kasdien kiekvienas einantis gali jį atidaryti, pažiūrėti ir ten rasti mūsų klientų asmens duomenų“, – kalbėjo jis „Žinių radijui“.
 
„Klausyti vagies, kuris bando pateisinti tai, ką jis daro, kodėl vagia, nežinau, ar yra pats geriausias sprendimas, ir tikrai šiek tiek stebina, kad klausomasi vagies“, – pridūrė jis.
 
K. Kaikaris teigė, kad nutekinta duomenų bazė su trejų metų senumo klientų duomenimis buvo laikoma tokioje vietoje, kurioje paprastai niekas nesilanko.
 
„Tik nusikaltėlis, kuris ieško, knaisiojasi būtent tokių dalykų, sugebėjo juos rasti (…). Ir jis pats sakė, jog naudojo įrankius, kad galėtų nustatyti, kokie ten duomenys yra, ir juos pasiimtų“, – sakė jis.
 
Anot K. Kaikario, įmonė šiuo metu skiria papildomų išteklių, kad nusikaltimas būtų išaiškintas.
 
„Tikrai pasitikiu visomis mūsų teisėsaugos institucijomis, kurios daro tyrimus, bendradarbiaujame su jomis ir tikrai siekiame ir norime, patys skiriame papildomus resursus, kad tas nusikaltimas būtų išaiškintas, kaip ir nusikaltėlis ar nusikaltėliai“, – kalbėjo „CityBee“ vadovas, teigdamas, kad beveik neabejoja, jog nusikaltėliai bus išaiškinti.
 
ELTA primena, kad praėjusią savaitę paaiškėjus, jog kibernetiniai nusikaltėliai forume paskelbė apie 110 tūkst. Lietuvoje registruotų „CityBee“ klientų informaciją, ikiteisminį tyrimą dėl pavogtų duomenų pradėjo Lietuvos kriminalinės policijos biuras, glaudžiai bendradarbiaudamas su pačia įmone. Tyrimą savo iniciatyva skelbia taip pat pradėjusi asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI).
 
Anksčiau išplatintame „CityBee“ pranešime sakoma, kad duomenys, kurie buvo įkelti viename iš kibernetinių įsilaužėlių pamėgtų forumų, yra trejų metų senumo.
 
Informacijos šaltinis – ELTA
 
2021.02.22; 11:00

„CityBee“ automobiliai. Dainiaus Labučio (ELTA) nuotr.

Pastarąją savaitę kilę asmens duomenų tvarkymo incidentai „CityBee“, „Orakulas.lt“ ir Širvintų rajono savivaldybėje sukėlė sumaištis, ar nutekėję asmenų duomenys gali sukelti ilguoju laikotarpiu jiems neigiamų finansinių pasekmių ar net tapatybės vagystes.
 
Pasak Valstybinės duomenų apsaugos inspekcijos vadovo Raimondo Andrijausko, kaskart įvykus incidentams su asmens duomenimis, tai žinutė kiekvienai ir su tuo nė nesusijusiai organizacijai.
 
„Incidentas gali įvykti bet kur ir bet kada. Svarbu prisiminti, kad Bendrasis duomenų apsaugos reglamentas yra teisės aktas, kurio privalu laikytis. Tinkamų duomenų saugumo priemonių nebuvimo pasekmės gali būti labai skaudžios ne tik nukentėjusiems žmonėms, bet ir aplinkinių verslų ekosistemai“, – sako R. Andrijauskas.
 
Incidentas dėl „CityBee“ klientų asmens duomenų
 
Po vasario 15-ąją viešojoje erdvėje pasirodžiusios informacijos, kad buvo galimai pavogta ir nutekinta įmonės „CityBee“ klientų duomenų bazė su asmenų privačiais duomenimis, asmens duomenų apsaugos priežiūros institucija, Valstybinė duomenų apsaugos inspekcija (VDAI), pradėjo tyrimą savo iniciatyva.
 
Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą, atskiri asmenų skundai nebus nagrinėjami. Apie priimtą sprendimą bus paskelbta viešai. Iki vasario 17 d. VDAI gavo daugiau kaip 2 600 asmenų kreipimųsi įvairiais klausimais dėl „CityBee“ atvejo.
 
Pagal teisės aktus priežiūros institucijos atliekamas tyrimas gali trukti iki 4 mėnesių su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti ilgesniam laikotarpiui (pavyzdžiui, dėl aplinkybių sudėtingumo, vėluojančių atsakymų pateikimo ir kt.).
 
Jeigu tyrimo eigoje paaiškėtų, kad buvo atskleisti ir kitų Europos Sąjungos valstybių narių gyventojų asmens duomenys, tyrimo terminai gali keistis dėl veiksmų derinimo su užsienio valstybių susijusiomis asmens duomenų apsaugos priežiūros institucijomis.
 
„Olybet“, buvusi lažybų bendrovė „Orakulas“. Dainiaus Labučio (ELTA) nuotr.

Bendrovė pirminį pranešimą VDAI pateikė vasario 17 d. Jame nurodoma, kad dėl šio incidento taip pat kreiptasi į policiją ir Nacionalinį kibernetinio saugumo centrą, apie pažeidimą informuoti klientai. Bendrovės pirminiame pranešime nurodoma, kad asmenų, kad pažeistas 111052 asmenų duomenų saugumas.
 
“CityBee„ atlieka vidaus tyrimą ir planuoja išorinį auditą. Bendrovės manymu, incidentas galimai įvyko dėl žmogiškosios klaidos. VDAI analizuoja Bendrovės pateiktą informaciją, planuojamas patikrinimas vietoje.
 
Incidentas dėl „Orakulas.lt“ duomenų bazės
 

Vasario 18 d. viešojoje erdvėje pasirodė informacija dėl „Orakulas.lt“ duomenų bazės pardavinėjimo, kurioje galimai yra informacija apie daugiau kaip 257 tūkst. vartotojų. VDAI, vykdydama stebėseną, artimiausiu metu kreipsis į atitinkamus asmenis dėl informacijos pateikimo. VDAI taip pat atkreipia dėmesį, kad dėl bet kokios galimai nusikalstamos veikos, susijusios su asmens duomenimis, turi būti kreipiamasi į policiją.

 
Širvintų rajono savivaldybės asmens duomenų tvarkymas dėl COVID-19
 
Kilus įtarimų dėl COVID-19 asmens duomenų tvarkymo teisėtumo Širvintų rajono savivaldybėje, Nacionalinis visuomenės sveikatos centras VDAI pateikė pranešimą apie galimai įvykusį asmens duomenų saugumo pažeidimą, kurio informaciją dar tikslina. Kol kas tyrimas nėra pradėtas, šiuo metu VDAI vertina Nacionalinio visuomenės sveikatos centro pateiktą informaciją.
 
VDAI atkreipia dėmesį, kad asmens duomenų tvarkymas savaime nėra draudžiamas, tačiau jis turi būti atliekamas laikantis BDAR reikalavimų, įskaitant, bet neapsiribojant, kad asmens duomenys gali būti teikiami asmenims, pirma, turintiems teisėtą tikslą juos gauti, antra, turintiems teisę juos gauti, trečia, tik adekvačia apimtimi.
„Orakulas”. Dainiaus Labučio (ELTA) nuotr.
 
„Savivaldybės taip pat dalyvauja COVID-19 pandemijos valdyme, todėl tam tikrų jų funkcijų įgyvendinimui asmens duomenys gali būti reikalingi. Valstybės ir savivaldybės institucijų keitimasis asmens duomenimis, kai tai atitinka BDAR reikalavimus, yra neatsiejama šių institucijų funkcijų vykdymo dalis. Tai nereiškia, kad konkrečiam tikslui gautus asmens duomenis savivaldybės galėtų tvarkyti neribotai.
 
Savivaldybės, kaip duomenų valdytojai, privalo užtikrinti, kad šie asmens duomenys būtų tvarkomi tik konkrečiu tikslu, susijusiu su jų funkcijų vykdymu, ir tik nustatyta tvarka”, – sakoma VDAI pranešime.
 
Informacijos šaltinis – ELTA
 
2021.02.19; 07:00

Policijos generalinis komisaras Renatas Požėla. Dainiaus Labučio (ELTA) nuotr.

Policijos generalinis komisaras Renatas Požėla teigia, kad išpirkos už nutekintus „CityBee“ klientų duomenis kol kas nereikalauta. Jis taip pat praneša, kad planuojama pradėti bendradarbiavimą su Europos policijos biuru (Europolu).
 
„Tyrimas pradėtas dėl to, kad tiksliai tyrimo metu nenustatytu laiku buvo neteisėtai prisijungta prie UAB „Prime Leasing“, kuri operuoja „CityBee“ informacines sistemas, ir neteisėtai pasisavinti bendrovės klientų registracijos metu pateikti labai konkretūs duomenys“, – žurnalistams sakė R. Požėla.
 
„Kol kas negalime pasakyti, kokiu būdu buvo prisijungta prie duomenų bazės“, – pridūrė jis.
 
Anot generalinio komisaro, kol kas išpirkos už nutekintus duomenis prašoma nebuvo.
 
„Pagal „CityBee“ atstovo pateiktus duomenis, iš „CityBee“ nebuvo reikalaujamas piniginis atlygis už duomenų bazės išpirką ar nepaviešinimą.
 
Taip pat nėra duomenų, kad reikalauta atlygio iš „CityBee“ klientų“, – kalbėjo jis.
 
R. Požėlos teigimu, siekiant išsiaiškinti asmens duomenų nutekinimo aplinkybes planuojama į pagalbą pasitelkti Europolą.
 
„Rytoj planuojame pradėti bendradarbiavimą su Europolo Nusikaltimų elektroninėje erdvėje valdyba, tai tokia pirminė mūsų kryptis. Ir kitas dalykas – savalaikis informacijos teikimas nukentėjusiems asmenims“, – teigė jis.
 
„Nukentėję asmenys turėtų sekti policijos informaciją, kurios jau dabar tam tikros yra ir kuri bus sistemingai nuolat teikiama mūsų nukentėjusiems klientams“, – pridūrė R. Požėla.
 
Pirmadienio popietę paaiškėjus, kad kibernetiniai nusikaltėliai forume paskelbė apie 110 tūkst. Lietuvoje registruotų „CityBee“ klientų informaciją, ikiteisminį tyrimą dėl pavogtų duomenų pradėjo Lietuvos kriminalinės policijos biuras, glaudžiai bendradarbiaudamas su pačia įmone. Tyrimą savo iniciatyva skelbia taip pat pradėjusi asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI).
 
Anksčiau išplatintame „CityBee“ pranešime sakoma, kad duomenys, kurie buvo įkelti viename iš kibernetinių įsilaužėlių pamėgtų forumų, yra trejų metų senumo. Naktį iš vasario 15-osios į 16-ąją paaiškėjo naujų faktų, susijusių su duomenų vagyste.
 
Informacijos šaltinis – ELTA
 
2021.02.17; 02:00

Kibernetinis saugumas. Dainiaus Labučio (ELTA) nuotr.

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos tiria galimą kibernetinį incidentą ir yra pasirengęs teikti pagalbą aiškinantis „CityBee” klientų duomenų nutekinimo aplinkybes.
 
NKSC bendradarbiauja su Lietuvos policija ir Valstybine duomenų apsaugos inspekcija tiriant galimą kibernetinį incidentą dėl neteisėto priėjimo prie „CityBee” klientų paskyrų ir yra pasirengęs prisidėti aiškinantis incidento aplinkybes, kai bus suteikta papildomos techninės informacijos iš „CityBee”. NKSC suteiks visokeriopą pagalbą tiriant atvejį ir ragina asmenis, kurių slaptažodžiai nutekėjo atskleidus „CityBee” klientų duomenis, juos kuo skubiau pasikeisti.
 
NKSC turima informacija, nors slaptažodžiai ir yra užšifruoti, juos galima atspėti automatinėmis priemonėmis. NKSC specialistai taip pat ragina pasikeisti ne tik „CityBee”, bet ir kitose paskyrose naudojamus slaptažodžius.
 
„Pagal turimą informaciją slaptažodžiai pateikiami SHA1 formatu be papildomų apsaugos kriterijų (angl. „salt”), todėl juos yra įmanoma atspėti automatinėmis priemonėmis ir panaudoti neteisėtai prieigai prie paskyrų. Viešinami duomenys preliminariai yra 2018 metų”, – sako NKSC direktorius Rytis Rainys.
 
NKSC specialistai pataria „CityBee” klientams, kaip pasikeisti slaptažodžius. „Jeigu naudojate tuos pačius slaptažodžius autentifikuojantis į skirtingas informacines sistemas, rekomenduojame nedelsiant pasikeisti el. pašto, socialinių tinklų paskyrų, kitų informacinių sistemų slaptažodžius, o juos sudaryti iš ne mažiau kaip dvylikos simbolių, kuriuose būtų didžiosios, mažosios raidės, skaičiai, specialieji simboliai.
 
Jeigu sistemoje numatyta tokia galimybė, naudokite dviejų faktorių autentikavimo paslaugą, nes ji užtikrina didesnį saugumą”, – ragina NKSC kibernetinio saugumo specialistai.
 
Informacijos šaltinis – ELTA
 
2021.02.17; 00:30