„CityBee“ skandalas: pavogti klientų duomenys
Informacija gestų kalba apie nusavintus įmonės „CityBee“ klientų duomenis ir patarimai, kaip apsaugoti savo paskyras.
Naktį iš vasario 15 į 16 d. kibernetiniai nusikaltėliai įsilaužė į įmonės „CityBee“ serverius ir pasisavino „CityBee“ klientų vardus, pavardes ir asmens kodus, taip pat ir telefonų numerius, elektroninio pašto adresus, gyvenamosios vietos adresus, vairuotojų pažymėjimo numerius bei slaptažodžius. Iš viso buvo pasisavinta daugiau kaip 114 tūkstančių žmonių svarbūs asmeniniai duomenys. Tarp nukentėjusiųjų – asmenys, kurie „CityBee“ sistemoje registravosi iki 2018 m. vasario 22 d.
Pasklidus žiniai, vartotojai suskubo burtis į „Facebook“ grupę, dalintis informacija ir siūlyti sprendimo būdus, ko reikėtų imtis galimai nukentėjusiems asmenims. Keletas jų teigia turintys nutekintų duomenų sąrašą, esą „jį galima nusipirkti už 8 eurus“, siūlo kitiems nariams galimybę pasitikrinti, ar jų duomenys yra nutekinti: plinta sukurtos svetainės, kuriose siūloma įvesti savo el. pašto adresą ar vardą, pavardę ir pasitikrinti. Visgi, IT ekspertai ragina tokiomis svetainėmis nesinaudoti, nes neaišku, kas jas kūrė, neaišku, iš kur jie gavo šiuos duomenis, kokius duomenis joje patys renka ir kur tie surinkti duomenys vėliau bus panaudoti.
Tačiau ką daryti, jei jūs esate užsiregistravę „CityBee“ platformoje ir galbūt jūsų duomenys buvo nutekinti?
1) Slaptažodžiai – pasinaudodami informacija, nusikaltėliai gali bandyti prisijungti prie jūsų el. pašto, „Facebook“ ar kitų paslaugų paskyrų, ir prieiti prie ten saugomos informacijos. Todėl rekomenduojama pasikeisti kitų paslaugų paskyrų slaptažodžius, jei buvo naudoti tokie patys ar panašūs, kaip ir jungiantis prie „CityBee“ paskyros. Pačio CityBee“ slaptažodžio keisti būtinybės nėra. Ten, kur įmanoma, taip pat rekomenduojama jungiantis prie sistemų naudoti dviejų žingsnių autentifikaciją – prisijungimus, kai būtinas ne tik slaptažodis, bet ir įvesti tam tikrą sugeneruotą kodą, kurį galima gauti, pvz., SMS žinute.
Bendrai apie slaptažodžių naudojimą:
- jei jūsų asmens duomenys galimai buvo nusavinti, nedelsdami pakeiskite visų naudojamų interneto paslaugų (socialinių tinklų, internetinių parduotuvių, internetinės komunikacijos ir pan.), taip pat su jomis susijusių paslaugų slaptažodžius;
- pasikeitę slaptažodį, niekada daugiau nenaudokite senojo slaptažodžio;
- slaptažodžiai turėtų būti keičiami kas pusmetį;
- jokiais būdais nenaudokite tokių slaptažodžių kaip qwerty ar 123456 ir pan.;
- kiekvienai paslaugai kurkite skirtingus slaptažodžius.
2) Asmens kodai – mažai tikėtina, tačiau gali būti bandoma jais pasinaudoti, apsimetant kitu asmeniu. Todėl apie tai, jog jūsų asmens kodas galėjo būti paviešintas, praneškite savo bankams, lizingo bendrovėms ir draudikams. Rekomenduojama savo banke arba, pvz., portale „Mano Creditinfo“ susikurti paskyrą ir užsisakyti asmens tapatybės apsaugos paslaugą, apsaugančią nuo greitųjų kreditų, lizingo, kitų paslaugų gavimo jums nežinant.
3) Telefono numeriai – nukentėję asmenys gali sulaukti daugiau nepageidaujamo turinio žinučių, sukčių skambučių, bandymų prisidengiant įvairiais paslaugų teikėjais išvilioti papildomus asmens duomenis ar pinigus. Todėl būtina išlaikyti budrumą, nepasitikėti gavus neaiškią SMS.
4) El. pašto adresai – nukentėję klientai gali sulaukti daugiau nepageidaujamo turinio (brukalų) žinučių, sukčių bandymų, prisidengiant įvairiais paslaugų teikėjais, išvilioti papildomus asmens duomenis, todėl būtina išlaikyti budrumą ir nespausti jokių nežinomų ar įtartinų nuorodų, nesuvedinėti duomenų.
5) Mokėjimo kortelės – „CityBee“ niekada nekaupė klientų bankinių mokėjimo kortelių duomenų, todėl jie negalėjo patekti programišiams į rankas.
6) Vairuotojų pažymėjimai – dabartinėmis žiniomis, klientų vairuotojų pažymėjimų kopijos nebuvo pavogtos. Neteisėtai gauti ir paviešinti buvo vairuotojų pažymėjimų numeriai ir galiojimo datos.
Reaguodama į informaciją, kad buvo pavogta ir nutekinta įmonės „CityBee“ klientų duomenų bazė su asmenų privačiais duomenimis, asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI) pradeda tyrimą savo iniciatyva. Nukentėję asmenys, susiję su šiuo duomenų saugumo incidentu, gali kreiptis bendru VDAI elektroniniu paštu ada@ada.lt, tyrimo laukelyje nurodydami raktinį žodį „CityBee“. Atsižvelgiant į tai, kad VDAI pradės tyrimą savo iniciatyva dėl duomenų saugumo pažeidimo įmonėje, todėl nukentėjusiesiems nėra būtinybės teikti atskirus skundus. Besikreipiantieji į VDAI turėtų nurodyti, kad jų duomenys galėjo būti nutekinti, visa kita VDAI nustatys tyrimo metu ir asmeniškai susisieks su galimai nukentėjusiais asmenimis.
Valstybinės duomenų apsaugos inspekcijos kontaktai ČIA.