- Paulius Viluckas, BNS
- Teksto dydis:
- Spausdinti
Automobilių dalijimosi paslaugos „CityBee“ klientų duomenis internetiniame forume paskelbęs programišius sako, kad įmonės saugumo priemonės buvo prastos, o jis pats daugiau duomenų neturi.
Klientų duombazių dalinimosi forumo „RaidForums“ narys slapyvardžiu „000“ pirmadienį paskelbė „CityBee“ informaciją apie klientus, užsiregistravusius iki 2018-ųjų vasario.
Vėliau jis viešai paskelbė ir savo kontaktus žurnalistams. Naujienų agentūra BNS su juo susisiekė programėle „Telegram“.
„Tai, ką paskelbiau, yra viskas, ką turiu. Jei būčiau tam skyręs daugiau laiko, ko gero, būčiau galėjęs gauti ir naujausią informaciją“, – sakė „CityBee“ klientų duomenis paskelbęs hakeris.
Jis teigė, kad „CityBee“ duomenų apsauga yra itin prasta – jo teigimu, prie duomenų galėjo prieiti kone bet kas, atradęs saugumo spragą ir turėjęs šiek tiek IT žinių.
Jei būčiau tam skyręs daugiau laiko, ko gero, būčiau galėjęs gauti ir naujausią informaciją.
„CityBee“ naudojo Microsoft teikiamą „Azure Blob“ duomenų saugyklos paslaugą. „Microsoft“ leidžia užtikrinti šių saugyklų saugumą su papildoma autentifikacija, tačiau „CityBee“ dėl kažkokios priežasties pasirinko to nepadaryti“, – teigė jis.
„Tyrėjai, hakeriai ir koderiai naudoja vadinamuosius DNS įrašus, kurie yra kaip telefonų knyga, kuri išsišakoja į kitus domenus, susijusius su pagrindiniu domenu. Atlikau paiešką „Citybee“ CNAME tipo DNS įrašuose, per kuriuos ir radau sąsają su Azure saugykla“, – pridūrė „000“.
Jis teigė „CityBee“ atradęs atsitiktinai ir labiausiai besidomintis JAV kompanijų duomenimis. „CityBee“ duomenis paskelbęs hakeris tvirtina nesitikėjęs, kad ši istorija sulauks tokio atgarsio.
„Iš pradžių galvojau, kad tai bus tik dar vienas duomenų nutekinimas, už kurį gausiu porą kreditų. Tačiau ryte pamačiau, kad tema „sprogo“, pažiūrėjau į naujienas Lietuvoje ir pamačiau žalą“, – sakė jis.
„Tačiau mano temos parodo svarbų vaizdą, kaip lengvai galima gauti prieigą prie duomenų. Didelių kompanijų naudotojų duomenys nuteka nuolatos“, – pridūrė „000“.
„RaidForums“ naudotojas, kuris tvirtino veikęs kartu su kitais naudotojais „Goofy TaeTae“ ir „ISUPK“, teigia apgailestaujantis dėl žalos, kurią patyrė paprasti „CityBee“ naudotojai, tačiau pabrėžė, jog tokie duomenų nutekinimai vyksta kasdien.
„Aš užjaučiu paprastus žmones, tačiau ne turtinguosius ir valdžios pareigūnus“, – sakė „000“.
Apie tai, kad trejų metų senumo „CityBee“ naudotojų duomenys buvo paskelbti internete, pranešta pirmadienio vakarą. Bendrovė teigia, kad nutekėjo apie 110 tūkst. klientų duomenys.
Tarp programišių paskelbtų duomenų yra klientų el. pašto adresai, telefono numeriai, asmens kodai, užkoduoti slaptažodžiai.
Tyrimą dėl duomenų vagystės pradėjo Lietuvos kriminalinės policijos biuras.
Už neteistą elektroninių duomenų perėmimą ir panaudojimą gresia bauda arba laisvės atėmimas iki ketverių metų.
„CityBee“ vadovas Kristijonas Kaikaris antradienį spaudos konferencijoje sakė, kad hakeriai vartotojų mokėjimo duomenų nepavogė, nes bendrovė šių duomenų nekaupia ir nelaiko.
Savo klientus, kurie bendrovės sistemoje registravosi iki 2018-ųjų vasario 22 dienos, „CityBee“ ragina pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
SUSIJĘ STRAIPSNIAI
-
Teismas užkirto kelią A. Stumbrui bylinėtis dėl prisijungimo prie „Litgrid“ elektros tinklo1
Lietuvos vyriausiasis administracinis teismas paliko galioti žemesnės instancijos teismo sprendimą nepriimti Rolando Pakso žento ir verslo partnerio Aivaro Stumbro skundo byloje dėl atmestų prašymų prisijungti prie bendrovės „Litgrid&ldquo...
-
„YIT Lietuva“ statys naują „Agrokoncerno“ fermų kompleksą – darbų vertė 52,6 mln. eurų1
Tvarios miestų ir infrastruktūros plėtros bendrovė „YIT Lietuva“ Radviliškio rajone, Bebrujų kaime, statys modernų 52,6 mln. eurų vertės „Agrokoncerno grupės“ karvių fermų kompleksą. 53 ha ploto sklype plėtojamas kom...
-
GIPL rangovė „Alvora“ kaltina energetikos institucijų vadovus šmeižtu
Pagrindinė Lietuvos ir Lenkijos magistralinio dujotiekio (GIPL) statybos rangovė „Alvora“ šmeižtu kaltina energetikos ministrą, GIPL užsakovės „Amber Grid“ bei Valstybinės energetikos reguliavimo tarybos (VERT) vadovus, ta...
-
„BaltCap“ afera: aiškėja, kas galėjo nutikti su dingusiais milijonais40
Buvęs investicijų bendrovės „BaltCap“ infrastruktūros fondo partneris Šarūnas Stepukonis į Lietuvos lošimų bendrovės „Olympic Casino Group Baltija“ akcininkės Estijos to paties verslo įmonės „OB Holding 1&...
-
Žmonėms su negalia įgyti vairuotojo pažymėjimą – misija (ne)įmanoma: „Regitra“ teisinasi2
Bandžiusi įgyti vairavimo teises, negalią turinti moteris susidūrė su netikėta kliūtimi – paaiškėjo, kad „Regitra“ neturi jos negaliai pritaikyto automobilio. Moteris dėl tokios situacijos pateikė skundą Lygių galimybių ko...
-
VŠT iš „Veolios“ jau gavo 9,5 mln. eurų už taršos leidimus, likusių lėšų tikisi netrukus
Vilniaus miestas ir Vilniaus šilumos tinklai (VŠT) iš Prancūzijos energetikos grupės „Veolia“ jau atgavo dalį Stokholmo arbitražo pernai lapkritį priteistos sumos – 9,5 mln. eurų už įmonės 2002–2017 metais ...
-
Teismas iš naujo spręs, kurios šalies teisme turi būti nagrinėjama „BaltCap“ byla8
Vilniaus apygardos teismas turės iš naujo nagrinėti, ar investicijų bendrovės „BaltCap“ infrastruktūros fondo įmonių ieškinys dėl Šarūno Stepukonio praloštų dešimčių milijonų eurų grąžinimo turi b...
-
J. Petrauskienę antrai kadencijai siūloma skirti Valstybės duomenų agentūros vadove
Valstybės duomenų agentūros vadove antrai kadencijai siūloma skirti dabartinę įstaigos direktorę Jūratę Petrauskienę. ...
-
IAE valdyboje liko tie patys nepriklausomi nariai bei valstybės tarnautoja
Valstybės įmonės Ignalinos atominės elektrinės (IAE) valdyboje liko tie patys trys nepriklausomi nariai ir valstybės tarnautoja. ...
-
Teismas panaikino 4,8 mln. eurų „Alvoros“ turto areštą
Vilniaus apygardos teismas panaikino strateginio Lietuvos ir Lenkijos dujotiekio (GIPL) statybos pagrindinės rangovės „Alvorai“ 4,8 mln. eurų vertės turto areštą, trečiadienį pranešė „Alvora“. ...