- BNS inf.
- Teksto dydis:
- Spausdinti
„CityBee“ vartotojų duomenys galėjo būti paviešinti dėl netinkamo debesijos paslaugų administravimo, trečiadienį pranešė Nacionalinis kibernetinio saugumo centras (NKSC), baigęs kibernetinio incidento tyrimą.
Šio tyrimo ataskaitą centras perdavė tyrimus dėl įvykio tęsiantiems Policijos departamentui ir Valstybinei duomenų apsaugos inspekcijai.
„NKSC atliktas tyrimas rodo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos piktavaliui atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių“, – teigia NKSC direktorius Rytis Rainys.
„CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. Dėl šios priežasties buvo sudarytos sąlygos tretiesiems asmenims be autorizacijos pasiekti „CityBee“ klientų duomenis ir juos pasisavinti.
NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 metais ir ši kibernetinio saugumo spraga buvo užkardyta tik paaiškėjus apie incidentą šių metų vasarį.
„Internetinės debesijos paslaugos yra plačiai naudojamos, tačiau bendrovės, besinaudojančios tokiomis paslaugomis, privalo žinoti ir naudoti tokių paslaugų gerąsias praktikas bei užtikrinti ten esančių duomenų saugumą“, – pabrėžia R. Rainys.
Siekiant išvengti panašių incidentų, NKSC rekomenduoja debesijos paslaugose naudoti ugniasienes aplikacijos lygmenyje (angl. – web application firewall), įgalinti administratorių prisijungimus tik patvirtinus tapatybę keliais faktoriais (angl. – multi-factor authentication), periodiškai atlikti privilegijuotų naudotojų paskyrų ir jų veiksmų analizę, valdyti prieigos teises pagal mažiausios privilegijos principą.
Virtualius kietuosius diskus ir kitą jautrią informaciją rekomenduojama šifruoti patikimais kriptografiniais algoritmais, o jų raktus saugoti tretiesiems asmenims neprieinamose vietose. Slaptažodžių saugojimui naudoti tam skirtus specialius algoritmus, tokius kaip „Bcrypt“, „Argon2“, dokumentuoti duomenų migravimo procesus, taip pat užtikrinti žurnalinių įrašų agregavimą incidentų identifikavimui, įsigyti papildomus centralizuotus debesijos paslaugų valdymo sprendimus (angl. Cloud Access Security Broker). Taip pat siūloma vykdyti nuolatinį virtualių mašinų atnaujinimą.
NKSC atkreipia dėmesį, jog tirdamas šio kibernetinio incidento tyrimo aplinkybes disponavo ribota tyrimui pateikta „CityBee“ informacija.
Apie „CityBee“ klientų duomenų nutekėjimą paskelbta vasario viduryje. Į programišių rankas pakliuvo ir buvo viešai paskelbta apie 110 tūkst. vartotojų, kurie platformoje užsiregistravo iki 2018-ųjų vasario 22 dienos, vardai, telefono numeriai, el. pašto adresai, asmens kodai, slaptažodžiai.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
SUSIJĘ STRAIPSNIAI
-
Teismas iš naujo spręs, kurios šalies teisme turi būti nagrinėjama „BaltCap“ byla5
Vilniaus apygardos teismas turės iš naujo nagrinėti, ar investicijų bendrovės „BaltCap“ infrastruktūros fondo įmonių ieškinys dėl Šarūno Stepukonio praloštų dešimčių milijonų eurų grąžinimo turi b...
-
J. Petrauskienę antrai kadencijai siūloma skirti Valstybės duomenų agentūros vadove
Valstybės duomenų agentūros vadove antrai kadencijai siūloma skirti dabartinę įstaigos direktorę Jūratę Petrauskienę. ...
-
IAE valdyboje liko tie patys nepriklausomi nariai bei valstybės tarnautoja
Valstybės įmonės Ignalinos atominės elektrinės (IAE) valdyboje liko tie patys trys nepriklausomi nariai ir valstybės tarnautoja. ...
-
Teismas panaikino 4,8 mln. eurų „Alvoros“ turto areštą
Vilniaus apygardos teismas panaikino strateginio Lietuvos ir Lenkijos dujotiekio (GIPL) statybos pagrindinės rangovės „Alvorai“ 4,8 mln. eurų vertės turto areštą, trečiadienį pranešė „Alvora“. ...
-
„Vičiūnų“ gamyklą Kaliningrade įsigijusi įmonė D. Matijošaičiui klausimų nesukėlė60
Viešojoje erdvėje kilus diskusijai dėl „Vičiūnų“ gamyklą Kaliningrade įsigijusios įmonės, „Vičiūnai Group“ valdybos narys Dainius Matijošaitis teigia, kad jam pačiam informacija apie „Gruppa Okean“ ...
-
Birželį prasidės Jonavos aplinkkelio I etapo statybos darbai
„Via Lietuva“ praneša Birželį pradėsianti Jonavos aplinkkelio statybų I etapo ir kelio Jonava–Žasliai–Kalniniai Mijaugonys rekonstravimo rangos darbus. ...
-
Aplinkos ministerija po gaisro automobilių laužyne: nėra siūlymų reguliuoti pavojingų veiklų vietas1
Po automobilių laužyne Vilniuje kilusio gaisro, kurio žala gamtai siekia beveik 6 mln. eurų ir kurio pasekmes dėl itin toksiškų dūmų juto gyventojai, suskubta pranešti, kad automobilių ardymas bei metalo laužo tvarkymas neturi vykti mie...
-
Vilniaus oro uoste uždaromas automobilių sustojimo kelias prie išvykimo terminalo
Nuo pirmadienio uždaromas Vilniaus oro uoste esantis automobilių užvažiavimo prie išvykimo terminalo kelias, transporto priemonės bus nukreipiamos į kitas trumpalaikiam sustojimui ar parkavimui skirtas vietas. ...
-
„Amber Grid“ atsakomybę dėl GIPL verčia „Alvorai“, planuoja kreiptis į teismą1
Dujų perdavimo sistemos operatorė „Amber Grid“ atsakomybę dėl Lietuvos ir Lenkijos magistraliniame dujotiekyje (GIPL) sumontuotų rusiškų detalių verčia pagrindinei jo rangovei „Alvorai“ bei planuoja skųsti praėjusią sa...
-
Nuo ko pradėti norint pastoviai gauti dividendus?1
Vis daugiau žmonių susidomi investavimo į akcijas galimybe. Tai ganėtinai rizikingas, tačiau nemažą grąžą generuoti galintis sprendimas. Visgi prieš pradedant investuoti svarbu plėsti savo žinias ir pasidomėti visomis su įmonių akcijomis ...