-
NKSC vadovas: „CityBee“ vartotojų slaptažodžiai užkoduoti silpnai, būtina juos keisti
„Iš kibernetinio saugumo pusės mes vertiname, kad būtent tie slaptažodžiai, kurie buvo paviešinti, nors jie ir buvo užkoduoti, tačiau užkoduoti silpnai ir juos automatinėmis priemonėmis piktavaliams galima dekoduoti. Tai reiškia, vartotojai, kurių slaptažodžiai ten yra, turėtų iš esmės juos pasikeisti. Ypač vartotojai, kurie naudoja tuos pačius slaptažodžius kitoms paskyroms“, – žurnalistams trečiadienį sakė R. Rainys.
„Pagrindinė mūsų žinutė vartotojams – reikia keisti slaptažodžius ir keisti greitai“, – akcentavo jis.
Pasak jo, kodavimo algoritmai, naudoti saugoti slaptažodžius, šiuo metu rekomenduojami nenaudoti.
Pagrindinė mūsų žinutė vartotojams – reikia keisti slaptažodžius ir keisti greitai.
R. Rainys teigia, kad duomenis paviešinusio programišiaus pateikta versija, jog „CityBee“ duomenų apsauga yra itin prasta, nenaudota papildoma autentifikacija, yra viena iš hipotezių, kurios bus tiriamos.
Pasak jo, duomenys galėjo būti pavogti ir fiziškai, nebūtinai įsilaužus, nes šiuo metu nėra aišku, kaip duomenys pateko į rankas piktavaliams juos paviešinusiems žmonėms.
„Kaip tai įvyko ir kada tai įvyko nežino nei sistemos valdytojas, nei mes, o kad tai nustatytume, reikia techninių duomenų, kuriuos mes tikimės artimiausiu metu gauti“, – sakė R. Rainys.
Apie tai, kad trejų metų senumo „CityBee“ naudotojų duomenys buvo paskelbti internete, pranešta pirmadienio vakarą. Bendrovė teigia, kad nutekėjo apie 110 tūkst. klientų duomenys.
Tarp programišių paskelbtų duomenų yra klientų el. pašto adresai, telefono numeriai, asmens kodai, užkoduoti slaptažodžiai.
Tyrimą dėl duomenų vagystės pradėjo Lietuvos kriminalinės policijos biuras.
Už neteistą elektroninių duomenų perėmimą ir panaudojimą gresia bauda arba laisvės atėmimas iki ketverių metų.
„CityBee“ vadovas Kristijonas Kaikaris antradienį spaudos konferencijoje sakė, kad hakeriai vartotojų mokėjimo duomenų nepavogė, nes bendrovė šių duomenų nekaupia ir nelaiko.
Savo klientus, kurie bendrovės sistemoje registravosi iki 2018-ųjų vasario 22 dienos, „CityBee“ ragina pakeisti savo slaptažodžius tiek „CityBee“ sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
VDAI vadovas: duomenų vagystės pasekmes sunku prognozuoti
Klientų duomenų vagystės ir jų paskelbimo pasekmes kol kas sunku prognozuoti, sako Valstybinės duomenų apsaugos inspekcijos (VDAI) vadovas.
Jo teigimu, šiuo metu taip pat nėra pagrindo nuogąstauti, kad žmonės dėl to galėtų patirti tiesioginių finansinių nuostolių.
„Tų duomenų, kurie buvo pavogti, neužtektų tam tikriems finansiniams nusikaltimams (pasisavinti pinigus iš banko sąskaitos ar paimti kreditą svetimu vardu – BNS) padaryti, bet tai pagal pirminę informaciją“, – trečiadienį per spaudos konferenciją sakė VDAI direktorius Raimondas Andrijauskas.
Daug yra galimybių, kaip gali būti panaudoti vieni ar kiti duomenys apie jus, tad sunku prognozuoti.
Kita vertus, jis pabrėžė, jog kibernetinių nusikaltimų specifika yra tokia, kad kartais net sunku įsivaizduoti, kam viena ar kita informacija gali būti panaudota.
„Pavyzdžiui, telefono numeris galbūt panaudotas išvilioti iš jūsų kitą informaciją, elektroninio pašto adresas galbūt gali būti panaudotas jums atsiųsti kenkėjišką elektroninį laišką“, – vardijo inspekcijos vadovas.
„Daug yra galimybių, kaip gali būti panaudoti vieni ar kiti duomenys apie jus, tad sunku prognozuoti. Tai net gali priklausyti nuo programišių fantazijos“, – tvirtino jis.
„Tas pasekmes prognozuoti sunku“, – sakė R. Andrijauskas.
Savo ruožtu jis patarė „CityBee“ klientams šiuo metu būti atsargesniems ir įtariau žiūrėti į gautus neaiškius laiškus, skambučius ar trumpąsias žinutes.
„Siūlome tam tikrus žingsnius – pastebėjus neįprastą veiklą ar ką nors, kas nesutampa su jūsų paskyra, tiesiog atnaujinti nustatymus, numatyti dvigubą identifikaciją, peržvelgti įvairius kanalus dėl jūsų slaptažodžio atstatymo ir panašiai, kad ta rizika sumažėtų“, – teigė VDAI vadovas.
Jis informavo, kad automobilių dalijimosi paslaugas teikianti bendrovė „CityBee“, iš kurios pirmadienį pavogti apie 110 tūkst. Lietuvoje registruotų vartotojų duomenys, oficialaus pranešimo apie įvykį inspekcijai dar nepateikė. Todėl, anot R. Andrijausko, daug klausimų, susiję su įvykiu, neatsakyti.
Pati VDAI trečiadienį sulaukė per 2400 pranešimų iš atskirų žmonių.
Inspekcijos direktorius teigė, kad tokio masto duomenų apsaugos pažeidimo Lietuvoje turbūt nėra buvę. Jis vylėsi, kad tyrimas truks trumpiau nei įstatyme leidžiami šeši mėnesiai.
„Pasistengsime greičiau nei per keturis mėnesius atlikti“, – teigė R. Andrijauskas.
Dėl pavogtų „CityBee“ vartotojų duomenų vagystės tyrimą VDAI pradėjo antradienį.
-
Kibernetinio saugumo ekspertas: visi atsidūrėme priešakinėse linijose 2
„Kad ir kiek kibernetinio saugumo specialistų turėtume Lietuvoje – jie negali apsaugoti visų piliečių, jeigu patys piliečiai ir organizacijos tinkamai nesirūpins savo saugumu elektroninėje erdvėje“, – įspėja kibernetinio saugumo specialistas, Vilniaus universiteto Kauno fakulteto (VU KNF) dekanas doc. dr. Kęstutis Driaunys.
Pasak eksperto, kibernetiniai nusikaltėliai naudoja įvairius atakų būdus, pavyzdžiui, labai dažnai naudojama išpirkos reikalaujanti programinė įranga (angl. ransomware), kuri, patekusi į įrenginį, užrakina, užšifruoja duomenis – įrenginio savininkui pateikiamas pranešimas, kad už galimybę vėl naudotis savo duomenimis turi sumokėti išpirką.
Vis naujų aukų randa ir piktadariai, kurie užsiima duomenų vagystėmis, vadinamuoju „phishingu“. Žmonėms ir organizacijoms siunčiamos žinutės, tokios kaip elektroninio pašto žinutės, SMS pranešimai, pranešimai susirašinėjimo programėlėmis su nuorodomis, kurias paspaudus dažnai patenkama į suklastotus internetinius tinklalapius, kuriuose prašoma suvesti įvairaus pobūdžio asmeninę informaciją, prisijungimo prie informacinių sistemų duomenis bei kitus konfidencialius duomenis.
Neramiu laikotarpiu sukčiai tampa aktyvesni
Doc. dr. K. Driaunys pastebi, kad nusikaltėliai naudojasi tiek vartotojų klaidomis ir neišmanymu, tiek techniniu interneto svetainių pažeidžiamumu, saugumo spragomis. „Kibernetinių atakų skaičius visą laiką auga. Pastebima, kad nusikaltėliai linkę išnaudoti aplinkybes, kai visuomenėje tvyro įtampa, nerimas, netikrumas dėl ateities“, – teigia VU KNF dekanas.
Kad ir kiek kibernetinio saugumo specialistų turėtume Lietuvoje – jie negali apsaugoti visų piliečių, jeigu patys piliečiai ir organizacijos tinkamai nesirūpins savo saugumu elektroninėje erdvėje.
Pasak jo, pandemija, ekonomikos krizė, baimė netekti darbo ar prarasti santaupas – tokios aplinkybės yra palanki terpė nusikaltėliams veikti – atakų skaičiai greitai didėja, nes sukčiai žino, kaip atkreipti dėmesį ir pasiekti plačios auditorijos emocijų centrus. Emocijų valdomi piliečiai tampa aukomis, nes nesugeba objektyviai įvertinti situacijos, ima nepagrįstai pasitikėti apsimetėliais, praranda atsargumo jausmą.
Keli patarimai, kaip išvengti duomenų vagystės, vadinamojo „phishingo“ (angl. terminas „phishing“ kilęs nuo žodžių „password fishing“ – slaptažodžių žvejyba)?
Nacionalinis kibernetinio saugumo centras www.nksc.lt rekomenduoja:
– nespausti įtartinų ar neaiškių nuorodų, gautų su elektroniniais laiškais ar rastų įtartino turinio tinklalapiuose;
– prieš vedant savo asmeninius duomenis internetinėse svetainėse, visada įsitikinti, kad svetainė nėra suklastota. Būtina atkreipti dėmesį į domeno vardą bei puslapyje esančių nuorodų adresus. El. bankininkystės sistemos visada naudoja saugų SSL ryšio protokolą: adreso pradžioje būtinai yra https, ir galima patikrinti svetainės sertifikatą. Suklastotų svetainių adreso pradžia beveik visada būna http (be s);
– turėti omenyje, kad bankai niekuomet neprašo pateikti ar keisti tik vartotojui žinomų banko internete ar mokėjimo kortelės slaptažodžių el. laiškais ar telefonu.
Stiprinti silpniausią grandį
Doc. dr. K. Driaunio nuomone, kibernetinio saugumo situaciją pagerinti galėtų geresnis bendras žmonių kibernetinio saugumo raštingumas. „Bendruomenė ar organizacija kibernetinio saugumo atžvilgiu bus stipri tiek, kiek stipri yra silpniausia jos grandis. Taigi, kalbant apie fizinį saugumą, silpniausią grandį paprastai įmanoma paslėpti už stipresniųjų nugarų, tvirtovėje, kad agresoriai nepasiektų ir nepadarytų žalos. O kibernetinio saugumo srityje – viskas kitaip: ir silpnieji, ir stiprieji stovi greta – priešakinėse linijose. Todėl kibernetinio saugumo situaciją pagerinti galėtų geresnis bendras visuomenės kibernetinio saugumo raštingumas“, – sako pašnekovas.
Doc. dr. K. Driaunys konstatuoja, kad šiuo metu mūsų visuomenė gan prastai suvokia kibernetines grėsmes ir menkai žino, kaip saugotis. „Dirbu ne tik su studentais – tenka vesti paskaitas įvairiose organizacijose ir bendruomenėse. Beveik visada atsiranda nustebusių klausytojų, kurie klausia, ar iš tiesų nusikaltėlių taikiniu ar įrankiu gali tapti jų išmanusis telefonas ar paprastas namų kompiuteris“, – teigia kibernetinio saugumo ekspertas. Anot jo, bendruomenė, giminaičiai, šeimos nariai gali sėkmingai dalytis informacija ir patarimais, kaip tinkamai elgtis internete, kaip sustiprinti kibernetinį saugumą ir kokias priemones vertėtų įdiegti.
Pašnekovas įsitikinęs, kad valstybė ir organizacijos, investuojančios į žmonių mokymą ir kibernetinio saugumo kompetencijų ugdymą, elgiasi teisingai. „Nors žmonėms vis dar kyla klausimas, kam to reikia. Akivaizdu, investicijos į kibernetinį saugumą nežada didesnių pajamų ir pelno. Tačiau retai susimąstoma, kiek išteklių reikėtų paskirti siekiant imtis reikiamų priemonių, jei bet kokio pobūdžio kibernetinė ataka sėkmingai būtų įvykdyta tiek prieš įmonę, tiek prieš kiekvieną iš mūsų. Taigi nuolat besikeičiančiame šiuolaikiniame pasaulyje tenka keisti įpročius, nuolat mokytis naujų dalykų, nors žmonėms kartais dėl to kyla suvaržymų ir nepatogumų, tačiau tai privalome daryti norėdami būti saugesni elektroninėje erdvėje“, – pastebi doc. dr. K. Driaunys.
-
Keblus slaptažodžių pasaulis: kaip susikurti tobulą ir kiek kainuoja mūsų užmaršumas
Su tuo tenka susidurti kasdien. Pasak specialistų, jų užmiršimas ar kūrimas sukelia rimtų nuostolių kompanijoms, jau nekalbant apie saugumą, kai naudojami labai silpni slaptažodžiai. Kaip susikurti tobulą variantą?
Pasak LRT RADIJO laidos „PIN kodas“ žurnalistės Jurgitos Čeponytės, tyrimai skelbia, kad vidutiniškai vienas gyventojas, aktyviai besinaudojantis internetu, turi 19 skirtingų slaptažodžių, per metus jam tenka suvesti apie 4 tūkstančius slaptažodžių.
Kalbant apie verslą, žurnalistės teigimu, dėl įvairaus pobūdžio elektroninio sukčiavimo, susijusio su slaptažodžiais, įmonės praranda apie 5 proc. apyvartos. Taip pat pastebima, kad per metus vieno darbuotojo užmaršumas kainuoja 420 JAV dolerių – vidutiniškai 3 darbo dienas per metus darbuotojas yra neproduktyvus, nes bando prisiminti savo slaptažodį ar jį pasikeisti.
Ištirta, kad vieni populiariausių slaptažodžių, – gana primityvūs, susiję su dažnai vartojamomis frazėmis, mėgstamomis grupėmis, skaičių sekomis ir pan.: qwerty, 123456, iloveyou, f***you, justinbieber, thebeatles, realmadrid ir kt.
Anot laidos „PIN kodas“ žurnalistės, tobulas slaptažodis turi susidėti iš dviejų žodžių, susikuriant tam tikrą jo konstravimo būdą.
Daugiau apie šį būdą – pokalbio įraše.