Информация о возможной краже данных была выявлена оперативно. Специалисты в сфере безопасности информировали компанию о возможном преступлении, пишет Delfi.lt.
"Выяснилось, что ограниченному кругу пользователей стали доступны данные клиентов, зарегистрировавших в системе CityBee до 22 февраля 2018 года. Были преданы огласке их имена, фамилии и персональные коды", — сказал глава CityBee Кристиёнас Кайкарис.
Кайкарис отметил, что у мошенников нет доступа к финансовым услугам клиентов компании, поскольку компания не хранит никакую информацию, связанную со способами оплаты услуг.
CityBee сейчас выясняет, каким образом мошенники могли получить доступ к данным клиентов.
CityBee в ближайшее время планирует поделиться и другой важной информацией и происшествии.
CityBee заверила, что вся информация передана полиции, а тут кроется не опасность финансовых потерь, в этом деле усматривают угрозу нацбезопасности страны.
Угроза нацбезопасности
Глава парламентского комитета по бюджету Миколас Маяускас и глава парламентского комитета по нацбезопасности и обороне Лауринас Кащюнас указали, что среди пострадавших клиентов были и депутаты парламента Литвы, а данные могут попасть в руки спецслужб недружественных Литве стран. Это уже представляет угрозу нацбезопасности Литвы.
"Я понимаю серьезность вопроса защиты персональных данных, который сейчас очень актуален. Сейчас полиция должна сделать все, чтобы пресечь нанесение такого ущерба и виновные ответили по закону.
Но тут есть и вопрос нацбезопасности, по моим данным, в этом списке есть как минимум 5 министров Литвы, депутаты и другие политики. Такая информация — это десерт для зарубежных спецслужб (…)", — сказал Delfi.lt Маяускас.
"Остается сожалеть, что ДГБ не сделал никаких шагов в этом деле. Я так думаю, первое, что должен был сделать ДГБ, узнав, что среди пострадавших есть политики, связаться с ними и сделать все, чтобы они превентивно позаботились о безопасности, информировать о необходимости смены паролей и т.д.", — считает депутат.
По словам Кащюнаса, пока не стоит нагнетать обстановку, но нельзя и отбрасывать риск.
"Риск в первую очередь связан с безопасностью данных. Надо анализировать ситуацию, мы займемся этим на заседании", — сказал он.
Пока все обстоятельства не известны, но, похоже на то, что в течение суток информация была доступна всем желающим ее получить, заметил Кащюнас.
"Можно предположить, что за эти сутки, кто-то из недружественных субъектов собрал данные о политиках — адреса, телефоны, пароли. А люди часто в нескольких местах используют те же пароли. Конечно, пока не известно, было это или нет. Но риск остается", — сказал депутат, заметив, что эта проблема вскрыла вопрос безопасности данных.
"Эта проблема существует и в частном, и в государственном секторе", — отметил он.
Депутат Агне Ширинскене считает, что похищенные данные могут использовать для организации террористической деятельности.
Она раскритиковала главу Минюста Эвелину Добровольскую, которая сказала, что эта ситуация не представляет большой опасности для клиентов CityBee. Ширинскене считает, что повод для беспокойства существует, ведь этими данными могут воспользоваться торговцы оружием, террористы и мошенники, занимающиеся отмыванием денег.
"Кроме того, у нелегальных мигрантов часто бывают поддельные документы. (…) А где еще сделки, которые можно заключить, если располагать всеми преданными огласке данными?", — писала в фейсбуке политик.
Добровольская во вторник сказала, что риск, связанный с утечкой данных клиентов CityBee невелик, поэтому жителям пока не предлагают менять банковские карты и водительские удостоверения.
Хакер: защита данных Citybee была слабой
Хакер, обнародовавший на интернет-форуме данные клиентов каршеринговой компании CityBee, говорит, что меры безопасности этого предприятия были слабые, а у него самого данных больше нет.
Член форума RaidForums, на котором производится обмен базами данных клиентов, с псевдонимом 000 обнародовал информацию о клиентах, которые зарегистрировались на каршеринговой платформе до февраля 2018 года.
"То, что я выложил — все, что у меня есть. Если бы я уделил этому больше времени, скорее всего, я смог бы получить и новейшую информацию", — сказал хакер, который обнародовал данные клиентов CityBee.
Он сказал, что защита данных CityBee — исключительно слабая. По его словам, доступ к ним мог получить любой, кто нашел бы брешь в безопасности и обладал бы некоторыми знаниями в области информационных технологий.
"CityBee использовала предоставляему Microsoft услугу хранилища данных Azure Blob. Microsoft позволяет обеспечить безопасность этих хранилищ с дополнительной аутентификацией, однако CityBee по какой-то причине предпочла этого не делать", — сказал он.
"Исследоватеи, хакеры и кодеры используют так называемые DNS-записи, которые представляют собой нечто вроде телефонной книги, которая разветвляется на другие данные, связанные с основным доменом. Я выполнил поиск в DNS-записях типа CNAME на Citybee, через которые и нашел связь с хранилищем Azure", — добавил хакер 000.
Он сказал, что открыл CityBee случайно и больше всего интересуется данными компаний США. Хакер не ожидал, что эта история получит такой резонанс.
"Сначала я думал, что это будет просто еще одна утечка данных, за которую я получу пару кредитов. Однако утром я увидел, что тема "взорвалась", посмотрел на новости в Литве и увидел ущерб", — сказал он.
"Однако мои темы показывают важную картину, как легко можно получить доступ к данным. Утечки данных пользователей крупных компаний происходят постоянно", — добавил 000.
Пользователь RaidForums, который утверждает, что действовал вместе с другими пользователями Goofy TaeTae и ISUPK, выражает сожаление в связи с ущербом, которые понесли пользователи CityBee, однако подчеркивает, что подобные утечки происходят ежедневно.
"Я сочувствую простым людям, однако не богатым и не должностным лицам", — сказал 000.
О том, что данные пользователей CityBee трехлетней давности были выложены в интернете, стало известно в понедельник вечером. Компания сообщает, что произошла утечка данных примерно 110 тыс. клиентов.
Были украдены не только имена, фамилии, личные коды части клиентов CityBee, но и номера телефонов, адреса электронной почты, адреса проживания, номера водительских прав и закодированные пароли.
Расследование начало Бюро криминальной полиции Литвы.
За незаконное использование электронных данных грозит штраф или лишение свободы на срок до четырех лет.
Глава CityBee Кристийонас Кайкарис на пресс-конференции во вторник сказала, что хакеры не украли платежные данные пользователей, так как компания не хранит эти данные.
Компания призывает своих клиентов, которые регистрировались в системе до 22 февраля 2018 года, сменить пароли как в системе CityBee, так и в других системах, если там использовались идентичные или похожие пароли.
Каршеринговая компания CityBee работает в Литве, Латвии, Эстонии и Польше. Парк компании — свыше 2 тыс. транспортных средств, у компании база данных свыше 750 тыс. клиентов.
Все актуальные новости от RusDelfi можно прочитать в Telegram: подписывайтесь и будьте в курсе событий страны и мира.
