GERAS BLOGAS

SENSITIVE DATA EXPOSURE. CITYBEE

Tai bus paskutinė jautriųjų duomenų atskleidimo analizė. O geriausią palikau pabaigai… Nes visur gerai, bet namuose geriausia. Šis įrašas bus apie 2021 m. paviešintus lietuviškos Citybee įmonės klientų duomenis. Remsiuosi Valstybinės duomenų apsaugos inspekcijos (VDAI) 2021-11-29 padaryta analize.

Citybee atvejo esmė – neapsaugotai laikoma duomenų bazės kopija, kuri nusikaltėliams įsilaužus buvo laisvai prieinama ir išnaudojama, bei paviešinta internete.

Kas paviešinta?

  • Atskleisti ir viešai paskelbti 110 302 „CityBee“ vartotojų duomenys.
  • Duomenų bazės faile atviru tekstu buvo saugomi asmens duomenys: asmenų vardai, pavardės, adresai, telefono numeriai, el. pašto adresai, asmens kodai, vairuotojo pažymėjimo numeriai, mokėjimo kortelės tipas ir paskutiniai 4 jos numerio skaičiai, mokėjimo kortelės galiojimo data
Šaltinis: https://hackread.com/citybee-database-login-credentials-leaked-online/

Kokios klaidos padarytos?

  • Nepaskirtas tinkamas žmogus atsakingas už saugumą ir rizikų valdymą.
  • Neatskirtos IT kūrimo ir priežiūros atsakomybės nuo kibernetinio saugumo.
  • Nepasirūpinta, kad duomenų bazės failo veiksmų žurnalai (angl. log) būtų įrašomi ir stebimi.
  • Duomenų bazės failas buvo nesaugus – jis buvo saugomas nešifruotas, todėl techninių žinių turintis asmuo galėjo lengvai gauti prieigą prie duomenų. Bei jau minėti duomenys buvo saugomi atviru tekstu.
  • Slaptažodžiai duomenų bazėje buvo užšifruoti silpnu SHA-1 algoritmu, kurį nesunku nulaužti naudojant viešus įrankius.
  • Vartotojai galėjo naudoti per silpnus slaptažodžius, neatitinkančius įmonės IT saugumo reikalavimų.
Šaltinis: https://hackread.com/citybee-database-login-credentials-leaked-online/

Kaip buvo galima to išvengti?

„Inspekcijos vertinimu, DB faile saugomų asmens duomenų konfidencialumą būtų apsaugojusios tinkamai panaudotos bent viena iš toliau nurodytų bazinių saugumo priemonių: autentifikuota prieiga prie DB failo tik bendrovės darbuotojams; prisijungimas prie saugyklos tik iš vidinio bendrovės kompiuterių tinklo; DB failo saugojimas užšifravus (šifravimo raktus patikint tik įgaliotiems bendrovės darbuotojams); tinkama informacinių išteklių stebėsena.“ (VDAI, 2021)

Dėl šio jautriųjų duomenų atskleidimo įmonei padaryta didelė reputacinė žala, teisiniai nemalonumai, virtę į šimtatūkstantinę (103 tūkst. Eur) baudą apmokant klientų patirtą žalą. Na, o klientai patyrė informacinę žalą praradę jautrius asmeninius duomenis.

Šaltinis: https://vdai.lrv.lt/lt/naujienos/automobiliu-nuomos-bendrovei-skirta-bauda-del-duomenu-saugumo-pazeidimo-pagal-bendraji-duomenu-apsaugos-reglamenta/

By

Vilius Petronis

Posted in

3 responses

  1. Rabarbaras Avatar
    Rabarbaras

    Kokia tos masinos marke nesimato per tlf ekrana?

    Reply
    1. Vilius Petronis Avatar
      Vilius Petronis

      Volkswagen

      Reply
  2. rajanas goslingas Avatar
    rajanas goslingas

    9/10, nes auto nuotraukoj ne bmw ir ne stotelej

    Reply

Reply

Your email address will not be published. Required fields are marked *