Kaip pranešė telefonai.eu, pranešimo autorius teigė, kad žino sistemos pažeidžiamumą ir dėl to gali prieiti prie visos šios informacijos. Taip pat pateikiama, kaip būtų galima iš to uždirbti.
Anoniminis pranešimo autorius pateikė įrodymų – pirkėjų jau panaudotus dovanų čekius ar bilietus, daug nuorodų su užsakymų patvirtinimais (sąskaitomis). Jose matomas užsakovo el. pašto adresas, asmens kodas, telefono numeris.
Situaciją 15min patvirtino ir „ESET Lietuva“ saugumo inžinierius Lukas Apynis.
Tikrai tas nutekėjimas galimas. Mes tikrinome programišiaus pateiktas nuorodas, net dabar atidarius jos nukreipia į senus, praėjusių metų dovanų kuponus.
„Tikrai tas nutekėjimas galimas. Mes tikrinome programišiaus pateiktas nuorodas, net dabar atidarius jos nukreipia į senus, praėjusių metų dovanų kuponus“, – komentavo kibernetinio saugumo ekspertas.
Nors programišiaus paskyra jau nebėra prieinama, nuorodos vis dar aktyvios – jose matomas bilietas ar dovanų kuponas, pirkėjo el. pašto adresas, vardas ir pavardė, telefono numeris, pirkimo data ir kita užsakymo informacija.
Ši saugumo spraga paveikė ir kitose šalyse veikiančias „Bilietai.lt“ svetaines: Estijoje – „Piletilevli.ee“, Latvijoje – „Bilesuserviss.lv“ ar Baltarusijoje – „Kvitki.by“.
Bilietai.lt vadovas: vartotojų duomenys saugūs
Kaip skelbia BNS, Bilietai.lt valdančios bendrovės „Nacionalinis bilietų platintojas“ vadovas Ramūnas Šaučikovas tikina, kad vartotojų duomenys šiuo metu yra saugūs.
Jis sako, kad vartotojų finansiniai duomenys nebuvo nutekinti.
Vis dėlto R.Šaučikovas patvirtino, kad galėjo būti nutekinti klientų vardai, pavardės bei kontaktiniai duomenys.
„Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), elektroninio pašto adresai, retais atvejais – telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti“, – ketvirtadienio popietę žiniasklaidai išplatintame komentare teigė R.Šaučikovas.
Pasak R.Šaučikovo, sužinojusi apie galimą incidentą įmonė pradėjo vidinį tyrimą.
„Remiantis preliminariomis tyrimo išvadomis, identifikavome paveiktą sistemos vietą. Nedelsiant nutraukėme ir uždarėme bet kokią galimą neteisėtą prieigą prie klientų duomenų“, – teigė „Bilietai.lt“ vadovas.
Pasak R.Šaučikovo, dėl galimo duomenų nutekinimo įmonė kreipėsi į Estijos duomenų apsaugos institucijas bei Lietuvos teisėsaugą.
„Su kiekvienu klientu, prie kurio asmens duomenų galimai įgijo prieigą piktavaliai, susisieksime. Norime užtikrinti, kad klientų įsigyti Bilietai.lt pirkiniai yra galiojantys ir saugūs. Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), el. pašto adresai, retais atvejais – telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti“, – anksčiau ketvirtadienį 15min komentavo R.Šaučikovas.
Jo teigimu, iš IT ir duomenų centro Estijoje įmonė gavo patvirtinimą, kad šiuo metu galimybės prieiti prie vartotojų duomenų nėra.
„Informacija, apie kurią jūs kalbate, atiduota į Estijos duomenų apsaugos instituciją ir šitą atvejį jau kuris laikas esame atidavę teisėsaugai“, – pridūrė jis.
„Bilietai.lt“ vadovo teigimu, informaciją apie galimai nutekintus klientų duomenis įmonė gavo iš savo verslo partnerio, kurio jis neįvardijo.
Anot jo, veikiausiai galėjo būti nutekinti „senesnio laikotarpio“ klientų duomenys. Kiek ir kokių šalių klientų galėjo būti paveikta, pasak R.Šaučikovo, dar aiškinamasi.
Duomenimis gali pasinaudoti sukčiai
L.Apynio teigimu, šiems duomenims gauti neprireikė kibernetinės atakos.
„Kiek pastebėjome, tai nebuvo joks įsilaužimas, o programavimo klaida. Turint specifinę nuorodą galima atidaryti bet kurį kuponą, tam nereikia jokio specialaus prisijungimo, nėra autorizacijos proceso“, – teigė ekspertas.
Pašnekovas taip pat pabrėžė, kad nors kuponai ir seni, juose esančiais duomenimis gali pasinaudoti programišiai ir išvilioti pinigines sumas iš bilietai.lt klientų.
„Programišiai gali išnaudoti šiuos duomenis net jei kuponai ir yra seni. Šiuo atveju gali apsimesti bilietai.lt, kadangi prieinamas el. paštas ir telefono numeris – skambinti pirkėjui, sakyti, kad mokėjimas už kuponą ar bilietą atmestas ir reikia padaryti naują pavedimą į naują banko sąskaitą“, – pabrėžė L.Apynis.
Kaip rašo telefonai.eu, anoniminis asmuo prieš metus ar dvejus bandė susisiekti su Bilietai.lt ir įspėti apie esamą spragą, tačiau į jo užklausas sureaguota nebuvo.