Kradzież danych na niespodziewaną skalę z CityBee

Państwowa Inspekcja Ochrony Danych (VDAI) ogłosiła we wtorek, że rozpoczyna dochodzenie w sprawie kradzieży danych z firmy sharingowej CityBee. Wezwała poszkodowanych do zmiany haseł i nie ulegania prowokacjom oszustów, którzy mogą żądać zapłacenia okupu.

zw.lt
Kradzież danych na niespodziewaną skalę z CityBee

BNS/Scanpix

„Obecnie współpracujemy ze wszystkimi organami zaangażowanymi w incydent, aby w jak największym stopniu zapobiec dalszemu bezprawnemu przetwarzaniu danych osobowych, a także radzimy podjęcie środków bezpieczeństwa, które są zależne od klientów firmy a w szczególności zmianę haseł, niepoddawanie się prowokacjom, obserwowanie policyjnych informacji o tym zdarzeniu ”- powiedział Raimondas Andrijauskas, dyrektor Inspekcji.

„Nie ma wątpliwości, że prywatne dane osobowe są nieocenionym zasobem, a ich kradzież jest oceniania jako szczególnie wrażliwa. Państwowa Inspekcja Ochrony Danych musi w tej sytuacji błyskawicznie zareagować, dlatego jesteśmy w bezpośrednim kontakcie i z niecierpliwością czekamy na wynik śledztwa, abyśmy w razie potrzeby mogli również zająć się ustawowymi zmianami prawa o ochronie danych. Szara strefa nie może tu istnieć – powiedziała minister sprawiedliwości Ewelina Dobrowolska.

W poniedziałek wyciekły informacje o około 110 tys. użytkowników usługi sharingu litewskiej CityBee.

Według firmy przestępcy opublikowali dane klientów sprzed trzech lat na jednym z ulubionych forów hakerskich. Według firmy klienci, którzy zarejestrowali się w bazie firmy po 22 lutego 2018 roku, nie ucierpieli.

Oprócz imion i nazwisk niektórych klientów CityBee, opublikowano numery telefonów, adresy e-mail, adresy zamieszkania, numery prawa jazdy i zaszyfrowane hasła dostępu do strony internetowej firmy.

We wtorek po południu CityBee zorganizowała konferencję prasową podczas której szef firmy Kristijonas Kaikaris przedstawił najnowsze dostępne informacje dotyczące kradzieży danych klientów firmy i związanych z tym działań.

K. Kaikaris podkreślił, że firma głęboko ubolewa z powodu incydentu i ściśle współpracuje z policją i ekspertami ds. bezpieczeństwa cybernetycznego – wyjaśniając okoliczności, lokalizację, czas i możliwość złagodzenia konsekwencji kradzieży danych osobowych.

„Bardzo nam przykro [z powodu incydentu], i ja osobiście ucierpiałem, moi bliscy i przyjaciele – więc bardzo dobrze rozumiem poczucie niepewności, którego doświadczają niektórzy z naszych klientów, dlatego utworzyliśmy infolinię, na której ofiary mogą się skontaktować i uzyskać potrzebne informacje ” – powiedział szef CityBee.

Pytany o to, jakie dane wyciekły, K. Kaikaris powiedział, że w poniedziałek zamieszczono tylko część danych a w nocy na wtorek zostały one uzupełnione. Według niego początkowo opublikowano nazwiska i adresy e-mail niektórych klientów, a także osobiste numery identyfikacyjne i zaszyfrowane hasła.

Później dane uzupełnione o adresy klientów firmy wpisane podczas rejestracji, numery telefonów. Szef firmy zapewniał jednak, że nie ma danych kart płatniczych (CityBee nie zbiera ani nie przechowuje takich danych).

Szef CityBee zwrócił się również do poszkodowanych klientów, aby nie panikowali.

„Ważne teraz jest, aby nasi klienci wszędzie, gdzie jest to możliwe zmienili swoje hasła, ponieważ ludzie często używają tych samych haseł w różnych miejscach” – powiedział K. Kaikaris.

„Wszyscy klienci, którzy zarejestrowali się w CityBee przed 22 lutego 2018 r. muszą zmienić swoje hasło – chociaż od tego czasu musiało ono zostać kilkakrotnie zmienione” – postukuje K. Kaikaris.

Na konferencji prasowej zapewniał, że obecnie poziom bezpieczeństwa CityBee zmienił się znacząco i jest wyższy niż trzy lata temu – np. hasła użytkowników są szyfrowane i przechowywane w zupełnie inny sposób.

Portal lrytas.lt pisze, że specjaliści od bezpieczeństwa IT dość szybko zauważyli, iż hasła w tej bazie były szyfrowane odpowiednio niskim algorytmem bezpieczeństwa – Sha-1 (Secure Hash Algorithm 1), bez użycia tzw. „soli” (ang. salt), co znacznie zwiększe bezpieczeństwo szyfrowania danych. Na tym poziomie odszyfrowanie zaszyfrowanych haseł może zająć tylko kilka minut.

To jednak nie wszystko w sprawie wycieku danych. We wtorek rano światło dzienne ujrzały kolejne złe informacje. Okazało się, że na tym samym forum pojawiła się oferta sprzedaży bardziej kompletnej wersji bazy danych, która zawiera już adresy mieszkańców, dane ich praw jazdy i telefony.

„Jednak najbardziej bolesne dla konsumentów jest to, że ujawniono adresy domowe i numery telefonu. A to, co naprawdę mi się nie podoba, to to, że baza danych zawierała dane dotyczące dokumentu tożsamości wymaganego do prowadzenia pojazdów – w tym przypadku prawa jazdy. Są tam ich numery – nie wiem, nie widziałem tych danych – ale i muszą tam być. A najgorsze jest to, że z danymi takiego dokumentu można już popełniać przestępstwa, np. zaciągać pożyczki w imieniu tej osoby, otwierać rachunki bankowe, płacić gdzieś, zostawić dokument jako zabezpieczenie itd. ” wyjaśniał portalowi lrytas.lt specjalista od bezpieczeństwa danych Marius Pareščius

Na pytanie, w jaki sposób według niego wyciekła baza danych, specjalista mówi, iż uważa, że dane wyciekły z kopii zapasowych, które najprawdopodobniej wykonali programiści firmy. „Pytanie brzmi, kiedy dane wyciekły – lub kiedy kopia została wykonana i kiedy dane zostały skradzione” – mówi.

CityBee ogłosił również specjalną infolinię. Wszyscy, którzy zarejestrowali się w systemie firmy do 2018 roku 22 lutego mogą zadawać pytania mailowo na adres info@citybee.lt. Wkrótce zostanie również uruchomiona infolinia telefoniczna.

Na podst. BNS, lrytas.lt, delfi.lt

PODCASTY I GALERIE