Kaip pirmadienio vakare skelbė įmonė „Švaros broliai“, buvo nutekinta jos duomenų bazė su 50 tūkst. išankstines rezervacijas atlikusių klientų duomenimis.
„Švaros broliai“ Vilniuje valdo penkis automobilių švaros centrus. Kitų „Švaros brolių“ verslų – tunelinių plovyklų, patalpų valymo verslų, savitarnos plovyklų – klientų duomenys, pagal dabar turimą informaciją, yra saugūs.
„Šiuo metu vis dar atliekame tyrimą, todėl komentuoti detaliai, kokias saugumo spragas išnaudojo įsilaužėliai, negalime. Pirminiai duomenys rodo, kad programišiams pavyko gauti prieigą prie automobilių švaros centrų rezervacijos sistemos duomenų bazės. Šią sistemą klientai naudoja rezervuoti vizitams – suveda savo vardą, pavardę, automobilio numerius, telefono numerį ir, jei nori, el. pašto adresą. Būtent dalis šių duomenų ir buvo nutekinta“, – 15min komentavo bendrovės direktorė Lina Žagarienė.
Kokie tiksliai duomenys nutekinti?
Dabartiniais duomenimis, nutekėjo šie klientų, kurie naudojosi „Švaros brolių“ automobilių švaros centrų rezervacijos sistema, duomenys: vardas, dalis pavardžių, automobilių valstybiniai numeriai, dalies šių klientų el. pašto adresai ir telefonų numeriai.
„Tai reiškia, kad šie duomenys nutekėjo įvairiomis kombinacijomis, pavyzdžiui, tik vardas ir jo automobilio valstybiniai numeriai, arba automobilio valstybiniai numeriai ir telefono numeris“, – rašoma bendrovės išplatintame pranešime.
Teigiama, kad su mokėjimais susijusi informacija – banko sąskaitų, mokėjimo kortelių duomenys ir kiti jautrūs duomenys, tokie kaip asmens kodai, namų adresai, nutekėjusiose duomenų bazėje saugomi nebuvo, todėl programišių rankose neatsidūrė.
Ar tai galėjo būti Rusijos ataka?
Įvairios Lietuvos įstaigos ir verslai pastarosiomis savaitėmis patiria vadinamąsias paskirstytas paslaugos trikdymo (DDoS) atakas, už kurias atsakomybę prisiėmė Rusijos kibernetiniai įsilaužėliai, vadinamasis „Killnet“ tinklas. Ši neoficiali organizacija Lietuvai ir dar kelioms ES šalims yra oficialiai paskelbusi „karą“ dėl ES taikomų sankcijų, jų veiksmai Lietuvos atžvilgiu suintensyvėjo po to, kai buvo apribotas sankcionuotų prekių tranzitas per Lietuvą į Kaliningradą.
Per pastarąsias dvi savaites nuolatinėmis užklausomis buvo atakuojami įvairių Lietuvos institucijų ir privačių verslų, įskaitant žiniasklaidą, serveriai. Laikinai buvo sutrikdyta tokių institucijų, kaip Valstybinė mokesčių inspekcija, Migracijos departamentas, veikla.
Vis dėlto, neskaitant laikinų veiklos sutrikimų, apie pavogtus ir nutekintus duomenis jokios informacijos iki šiol nebuvo paskelbta – tokios atakos yra skirtos sutrikdyti tinklapių veiklą.
Pirmadienį išplatintame pranešime „Švaros brolių“ atstovai teigė šią ataką siejantys su Rusijos hakeriais. Jei ši versija pasitvirtintų, tai būtų pirmasis viešai žinomas atvejis nuo karo Ukrainoje pradžios, kai Rusijos programišiai vagia duomenis iš Lietuvos institucijų ar verslų.
15min kalbinti ekspertai po pirmųjų „Killnet“ atakų prieš Lietuvą sakė, kad DDos atakos yra viena grubesnių, primityvesnių kibernetinės atakos formų ir svarstė, kad „Killnet“ tuo metu neturėjo pajėgumų ir įgūdžių rimtesniam įsilaužimui.
Nacionalinis kibernetinio saugumo centras (NKSC) 15min patvirtino, kad pirmadienį 13 val. „Švaros broliai“ dar nebuvo kreipęsi į šią instituciją, todėl įstaiga daugiau duomenų apie ataką neturi.
„Švaros brolių“ vadovė L.Žagarienė 15min atsiųstame komentare teigė, kad apie incidentą informavo Valstybinę duomenų apsaugos inspekciją, o antradienį apie tai praneš ir Lietuvos policijai bei Nacionaliniam kibernetinio saugumo centrui.
„Dabartinė mūsų analizė rodo, kad buvo atakuojama iš rusiškų IP adresų, todėl ir preliminariai darome išvadą, kad ataka vyko iš šios šalies. Su įsilaužėliais jokio kontakto neturėjome, išpirkos prašymo taip pat nesulaukėme“, – komentavo ji.
Sprendžiant iš „Švaros broliai“ komunikacijos, kad nukentėjo nuo Rusijos, jie to nežino 100 proc.
Anot 15min kalbinto nepriklausomo dezinformacijos eksperto Mažvydo Kunevičiaus, jeigu įmonė neturėjo jokio tiesioginio kontakto su įsilaužėliais, pavyzdžiui, jeigu šie nepaprašė išpirkos ar nepaliko kitų ženklų, bendrovei būtų sunku pačiai be NKSC pagalbos nustatyti, iš kurios šalies įvykdyta kibernetinė ataka.
„NKSC neturi patvirtinti ir dažnu atveju ir nepatvirtins, bet sprendžiant iš „Švaros broliai“ komunikacijos, kad nukentėjo nuo Rusijos, jie to nežino 100 proc. Kas gali patvirtinti jiems pilnai, tai žvalgyba arba NKSC. Tas jų pasakymas, kad jie tapo Rusijos hakerių auka, nėra patvirtintas. Pats verslas niekada 100 proc. nežinos, kas įsilaužė, nebent labai aiškiai grasinime nurodyta“, – komentavo ekspertas.
Apie tai, kad šis išpuolis yra visiškai kitokios kilmės nei anksčiau Rusijos įsilaužėlių rengtų DDOs atakos, 15min kalbėjo ir kibernetinio saugumo kompanijos „Surfshark“ saugumo vadovas Aleksandras Valentij.
Tiesa, jis pabrėžė, kad be detalesnių „Švaros brolių“ komentarų to nustatyti neįmanoma.
Ką turi daryti vartotojai?
„Sveiki, dalinamės svarbia informacija: programišiai nutekino dalies „Švaros brolių“ automobilių švaros centrų klientų duomenis – vardą, dalį pavardžių, automobilių valstybinius numerius, dalies klientų el. pašto adresus ir telefonų numerius. Atsiprašome dėl incidento“, – tokias SMS žinutes, parašytas be lietuviškų raidžių, pirmadienio vakarą ir antradienį savo telefonuose išvydo ne vienas bendrovės klientas.
Identiškų žinučių nuotraukų po vakarykščio incidento pradėjo rastis ir socialiniuose tinkluose, kur vartotojai perspėja vieni kitus nuorodos neatidarinėti.
Vis dėlto bendrovė teigia, kad informaciją klientams išplatino ir SMS žinutėmis. Bendrovė oficialiai teigia, kad vartotojams papildomų veiksmų imtis nereikia.
Tačiau atsargūs vartotojai, kurių duomenys buvo pavogti, įtartinų nuorodų neatidarinėja ne be reikalo – nutekinti duomenys gali būti panaudoti įvairiems blogiems tikslams, tarp jų ir papildomų asmens duomenų išviliojimui.
Kaip 15min teigė A.Valentij, vartotojų vardai, automobilių markės ir numeriai dažniausiai gali būti naudojami „phishingo“ atakoms. Taip vadinama duomenų vogimo taktika, kai pasitelkiant asmeninius duomenis įtikinamai sukuriamos melagingos žinutės, kurių metu siekiama apgaule išvilioti pinigus ar daugiau asmeninės informacijos.
Turint daugiau asmeninių duomenų įmanoma ir tapatybės vagystė, kai siekiama apsimesti kitu žmogumi.
„Surfshark“ duomenimis, „phishingas“ šiandien yra populiariausia ataka pasaulyje, nuo kurios praėjusiais metais nukentėjo 324 tūkst. žmonių. Bet tokio tipo atakos vidutiniškai daro mažiausiai finansinės žalos – viena auka praranda vidutiniškai apie 130 eurų.
„Švaros brolių“ incidentas gali būti pirmas iš daugelio ir ateityje gali būti nutekinta daug jautresnė informacija. Todėl jau dabar ypač rekomenduojama nenaudoti to paties slaptažodžio daugiau nei vienai paskyrai apsaugoti ir aktyvuoti dvigubos autentifikacijos (angl. 2FA) funkciją visuose puslapiuose, kurie tokią galimybę suteikia“, – patarimais pasidalijo A.Valentij.
Ko galima pasimokyti iš „Citybee“ atvejo?
Pirmadienį paviešintas įsilaužimas yra didžiausias viešai žinomas duomenų vagystės atvejis Lietuvoje per pastaruosius pusantrų metų, nuo 2021 m. vasario, kai buvo pavogta 110 tūkst. UAB „Prime Leasing“ valdomos automobilių nuomos platformos „CityBee“ klientų duomenų. Bendrovė klientus apie tai informavo vasario 15 d.
Praėjus savaitei po incidento, skelbta, kad 169 asmenys kreipėsi į policiją dėl duomenų vagystės.
NKSC atlikus tyrimą, paaiškėjo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos, įsilaužėliams atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių.
„CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 metais.
Kol kas nėra žinoma, kokios saugumo spragos lėmė neteisėtą prieigą prie „Švaros brolių“ duomenų.
Dėl netinkamai užšifruotų duomenų buvo pavogta apie 110 tūkst. „CityBee“ vartotojų duomenų. Dalis jų ėmė vienyti pajėgas kolektyviniams ieškiniams.
Kolektyvinį ieškinį dėl iš „Citybee“ duomenų bazės pavogtų duomenų siekiančio pateikti Vartotojų aljanso viceprezidentas Rytis Jokubauskas sakė, kad kiekvienas vartotojas iš „Citybee“ reikalaus 300 eurų, tačiau neaišku, kiek jų prisijungs prie grupės ieškinio.
Lygindamas šią situaciją su „Švaros brolių“ atveju, jis sakė, kad tokiu atveju reikalaujama suma žalos atlyginimui galėtų būti panaši – 300 eurų ar mažiau.
„Švaros brolių“ istorijoje, jei bus nustatyta įmonės kaltė, galėtume kalbėti apie panašią ar kiek mažesnę sumą. Iš pirminės informacijos susidaro įspūdis, kad duomenų kiekis mažesnis, vartotojų mažiau, nutekėjusi informacija mažiau jautri“, – 15min kalbėjo R.Jokubauskas.
Nepaisant to, kad tiesiogiai vartotojams įmonė nieko nesumokėjo, jai Valstybinės duomenų apsaugos inspekcija skyrė 110 tūkst. eurų baudą. Šios baudos „Prime Leasing“ neskundė.
Advokatų kontoros „INVENT“ partneris ir vadovas Mindaugas Kiškis sprendimą „Prime Leasing“ skirti 110 tūkst. eurų baudą vadino mažų mažiausiai paviršutinišku ir teigė, kad jis neatsako į aktualios žalos atlyginimui klausimus.
110 tūkst. eurų baudą „Citybee“ jis lygino su „uodo įkandimu drambliui“, nes tai mažiau nei euras vienam klientui.
Tai – ne vieninteliai teisiniai aspektai, kurių, anot pašnekovų, galima pasimokyti iš šios istorijos.
„Tai yra dar vienas puikus pavyzdys, nuo „Citybee“ laikų, kad turime įstatymiškai normaliai nurodyti, kokias saugos priemones verslai turi įsidiegti. Matome, kad verslai kuo toliau, tuo labiau taps kibernetinių atakų aukomis“, – 15min sakė M.Kunevičius.
Ko tikėtis ateityje?
Pašnekovas priduria, kad nepaisant to, ar ši konkreti ataka buvo inicijuota Rusijos įsilaužėlių, kibernetinio saugumo incidentų bus galima tikėtis vis dažniau.
Tikėtina, jog Lietuva kuo toliau, tuo labiau patirs kibernetinių atakų.
„Visų pirma, reikėtų atkreipti dėmesį į tai, kad susidūrus Vakarų ir Rusijos hakeriams kyla kibernetinis karas. Bet svarbiausia yra tai, kad mūsų institucijos, įmonės gauna gąsdinančius pranešimus, grasinimus dėl Kaliningrado, kad visi kentėsime ir mus pasiųs į akmens amžių.Tikėtina, jog Lietuva kuo toliau, tuo labiau patirs kibernetinių atakų, dabar yra tik pradžia“, – prognozavo M.Kunevičius.
Anot jo, didžiausia atsakomybė krenta NKSC ir valstybės institucijoms, kurios turi kibernetinio saugumo spragų.
Nepaliesti neliks ir verslai, kadangi įsilaužėliams jie patrauklūs tuo, kad jie kaupia duomenų bazes, kuriose figūruoja kortelių numeriai, asmeniniai duomenys. Ją pavogus, klientus galima šantažuoti, parduoti duomenis, įsilaužinėti į žmonių asmeninius kompiuterius ir pan. „Verslai turi tam tikrus kontaktus žmonių, kurie mūsų valstybėje priima kertinius sprendimus – juk politikai irgi naudojasi paprastomis paslaugomis“, – kalbėjo saugumo ekspertas.
Vis dėlto didesnis taikinys, anot M.Kunevičiaus, bus valstybinės institucijos, ypač energetikos sektoriaus, krašto apsaugos.
A.Valentij taip pat mano, kad Rusijos prieš Lietuvą nukreiptos kibernetinės atakos gali dažnėti priklausomai nuo politinės situacijos.
„Kalbant apie „Killnet“, jie galimai yra koordinuojami Rusijos valdžios struktūrų ir neslepia, jog pirmoji ataka prieš Lietuvą atlikta būtent dėl Kaliningrado tranzito situacijos. Nepaisant to, kol kas atakos yra labai paprastos ir labiau erzinančios nei keliančios grėsmę. Vis dėlto turime būti atidūs, nes prisidengiant tokiomis atakomis gali būti koordinuojami ir visiškai kitokie, aukštesnio lygio sofistikuoti įsilaužimai, kurių padariniai išryškėja tik gerokai vėliau“, – kalbėjo jis.