Tai bus paskutinė jautriųjų duomenų atskleidimo analizė. O geriausią palikau pabaigai… Nes visur gerai, bet namuose geriausia. Šis įrašas bus apie 2021 m. paviešintus lietuviškos Citybee įmonės klientų duomenis. Remsiuosi Valstybinės duomenų apsaugos inspekcijos (VDAI) 2021-11-29 padaryta analize.
Citybee atvejo esmė – neapsaugotai laikoma duomenų bazės kopija, kuri nusikaltėliams įsilaužus buvo laisvai prieinama ir išnaudojama, bei paviešinta internete.
Kas paviešinta?
- Atskleisti ir viešai paskelbti 110 302 „CityBee“ vartotojų duomenys.
- Duomenų bazės faile atviru tekstu buvo saugomi asmens duomenys: asmenų vardai, pavardės, adresai, telefono numeriai, el. pašto adresai, asmens kodai, vairuotojo pažymėjimo numeriai, mokėjimo kortelės tipas ir paskutiniai 4 jos numerio skaičiai, mokėjimo kortelės galiojimo data
Kokios klaidos padarytos?
- Nepaskirtas tinkamas žmogus atsakingas už saugumą ir rizikų valdymą.
- Neatskirtos IT kūrimo ir priežiūros atsakomybės nuo kibernetinio saugumo.
- Nepasirūpinta, kad duomenų bazės failo veiksmų žurnalai (angl. log) būtų įrašomi ir stebimi.
- Duomenų bazės failas buvo nesaugus – jis buvo saugomas nešifruotas, todėl techninių žinių turintis asmuo galėjo lengvai gauti prieigą prie duomenų. Bei jau minėti duomenys buvo saugomi atviru tekstu.
- Slaptažodžiai duomenų bazėje buvo užšifruoti silpnu SHA-1 algoritmu, kurį nesunku nulaužti naudojant viešus įrankius.
- Vartotojai galėjo naudoti per silpnus slaptažodžius, neatitinkančius įmonės IT saugumo reikalavimų.
Kaip buvo galima to išvengti?
„Inspekcijos vertinimu, DB faile saugomų asmens duomenų konfidencialumą būtų apsaugojusios tinkamai panaudotos bent viena iš toliau nurodytų bazinių saugumo priemonių: autentifikuota prieiga prie DB failo tik bendrovės darbuotojams; prisijungimas prie saugyklos tik iš vidinio bendrovės kompiuterių tinklo; DB failo saugojimas užšifravus (šifravimo raktus patikint tik įgaliotiems bendrovės darbuotojams); tinkama informacinių išteklių stebėsena.“ (VDAI, 2021)
Dėl šio jautriųjų duomenų atskleidimo įmonei padaryta didelė reputacinė žala, teisiniai nemalonumai, virtę į šimtatūkstantinę (103 tūkst. Eur) baudą apmokant klientų patirtą žalą. Na, o klientai patyrė informacinę žalą praradę jautrius asmeninius duomenis.
Reply