2023 06 30 /17:08

Dėl Seimo aplaidumo – didžiulė IT spraga: internete prieinami jautrūs duomenys

Penktadienio popietę Seimas išplatino pranešimą, kuriame informuojama apie viešose Seimo svetainėse matomus dokumentus su asmens duomenimis. Tarp jų – gyvenimo aprašymai, slapti leidimai, skundai ir kiti konfidencialūs dokumentai.
Pirmieji Seimo rūmai
Pirmieji Seimo rūmai / Žygimanto Gedvilos / BNS nuotr.

Pranešime teigiama, kad spraga pastebėta bendradarbiaujant su Nacionaliniu kibernetinio saugumo centru (NKSC).

„Seimo kanceliarija imasi visų priemonių, kad duomenys būtų apsaugoti, ir aiškinasi jų viešinimo priežastis“, – teigiama pranešime.

Teigiama, kad tai – ne kibernetinės atakos pasekmės.

„Šių duomenų viešinimas susijęs su organizacine veikla“, – informavo Seimas.

Tai 15min patvirtino ir NKSC: „Penktadienį fiksuotas incidentas neturi kibernetinio elemento“.

Kaip pranešė lrytas.lt, saugumo spragą aptiko kibernetinio saugumo analitikas Darius Povilaitis. Portalui jis teigė, kad spraga įvyko „dėl aplaidaus Seimo IT sistemų konfigūravimo“.

NKSC 15min patvirtino, kad apie šį incidentą informavo ir Valstybinę duomenų apsaugos inspekciją.

IT inžinierius: jei problemą ir išspręs, duomenys išliks prieinami mėnesį ir ilgiau

ESET IT inžinierius Lukas Apynis 15min teigė, kad labai tikėtina, jog situaciją įvyko dėl konfigūravimo klaidos.

„Ieškant internete, „Google“ ar kitoje paieškoje, įvedus tam tikrus raktažodžius galima pamatyti daug CV dokumentų. Matoma visa informacija, kuri CV“, – teigė jis.

Ekrano nuotr./Internete viešai prieinami privatūs dokumentai
Ekrano nuotr./Internete viešai prieinami privatūs dokumentai

L.Apynio žiniomis, tarp prieinamų duomenų galima rasti asmenų gyvenamąją vietą, tautybę.

Į paieškos sistemą įvedus tinkamus žodžius dokumentų pavyzdžius pavyko surasti ir 15min.

Net šeimyninė padėtis, darbovietė, pareigos, asmeninis telefono numeris, adresai – ir namų, ir darbo. Išsilavinimas ir kita informacija: įvairūs apdovanojimai.

„Net šeimyninė padėtis, darbovietė, pareigos, asmeninis telefono numeris, adresai – ir namų, ir darbo. Išsilavinimas ir kita informacija: įvairūs apdovanojimai“, – vardijo L.Apynis.

Pasak IT inžinieriaus, šią problemą techniškai išspręsti galima, tačiau nutekėję duomenys paieškos sistemose kurį laiką dar išliks.

Asmeninio archyvo nuotr./Lukas Apynis, ESET IT inžinierius
Asmeninio archyvo nuotr./Lukas Apynis, ESET IT inžinierius

„Reikia pakeisti konfigūraciją, tačiau, kaip žinome, paieškos varikliai išsaugo duomenis pakankamai ilgai, todėl netgi jei prieiga prie puslapio bus sutvarkyta ir dokumentų negalėsime pasiekti, visi duomenys, pavyzdžiui, telefono numeriai, bus matomi „Google“ paieškoje“, – aiškino L.Apynis.

Pasak jo, šie duomenys paieškos sistemose išliks apie mėnesį ir ilgiau.

„Seimas gali inicijuoti tų duomenų ištrinimą „Google“ paieškoje, tačiau jis ilgai užtrunka“, – perspėjo pašnekovas.

Seimas poziciją pakeitė

Penktadienio popietę Seimo kanceliarija išplatino pranešimą žiniasklaidai, kuriame teigiama, kad žiniasklaidoje paskelbta informacija apie saugumo spragas Seimo IT infrastruktūroje yra klaidinga ir ją prašoma paneigti.

Seimas taip pat ištrynė pirminį pranešimą, kuriame buvo teigta, kad pastebėtas „duomenų viešinimas susijęs su organizacine veikla“.

„Šiuo metu viešai Seimo interneto svetainėje ir Teisės aktų informacinėje sistemoje prieinami duomenys yra skelbiami laikantis teisės aktų reikalavimų. Kai kurie dokumentai yra lydintieji prie teisės aktų: juos skelbiant Teisės aktų informacinėje sistemoje įgyvendinama Seimo statuto nuostata Seimo nariams pateikti kandidatų biografijų duomenis (kai Seimas skiria į pareigas arba pritaria dėl skyrimo į pareigas). Gyvenimo aprašymus, kuriuose skelbiami asmens duomenys, Seimo kanceliarija gauna iš pačių duomenų subjektų. Jiems informavus apie galimą perteklinį duomenų tvarkymą, Seimo kanceliarija nedelsiant reaguoja“, – rašoma naujai išplatintame pranešime.

Pranešime taip pat nurodoma, kad taip pat viešai prieinami savivaldybių pateikti teisės aktai, dėl kurių viešinimo sprendimą priima pačios savivaldybės. Pagal Lietuvos Respublikos Seimo statuto reikalavimus (214 str.) viešai skelbiami ir klausimai bei atsakymai į Seimo narių klausimus.

Tačiau tarp viešai prieinamų Seimo duomenų yra ne vien Seimo narių gyvenimo aprašymai.

Taip pat, kaip pastebėjo lrytas.lt, viešai galima rasti ir Generalinei prokuratūrai adresuotą skundą, kuriame matyti ne tik skundo pateikėjo vardas ir pavardė, telefonas, bet ir jo adresas bei asmens kodas.

15min nepavyko susisiekti su Seimo ryšių ir visuomenės skyriumi netrukus po pranešimo išplatinimo.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis