Sveiki,
Įvykus „CityBee“ duomenų saugos incidentui, Nacionalinis kibernetinio saugumo centras (toliau – NKSC) prie Krašto apsaugos ministerijos pradėjo tyrimą. Prieš keletą dienų NKSC pateikė informaciją, jog „CityBee“ klientų duomenų paviešinimo kibernetinio incidento tyrimas yra baigtas ir jo ataskaita perduota tyrimus dėl šio incidento tęsiančioms institucijoms. Tad šiame naujienlaikraštyje Jūsų dėmesiui pateikiame NKSC atlikto tyrimo išvadas.
NKSC vertinimu, piktavaliai bendrovės klientų duomenis galėjo pasisavinti dėl netinkamo internetinės debesijos paslaugų naudojimo.
NKSC direktorius R. Rainys teigia, jog šis tyrimas „rodo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos piktavaliui atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių“. Pranešime taip pat nurodoma, kad „CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. Dėl šios priežasties buvo sudarytos sąlygos tretiesiems asmenims be autorizacijos pasiekti „CityBee“ klientų duomenis ir juos pasisavinti.
NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 m. ir ši kibernetinio saugumo spraga buvo užkardyta tik paaiškėjus apie incidentą (šių metų vasario mėn.).
NKSC direktorius taip pat pažymi, jog internetinės debesijos paslaugos yra plačiai naudojamos, tačiau bendrovės, kurios naudojasi tokiomis paslaugomis, privalo žinoti ir naudoti gerąsias praktikas bei užtikrinti ten esančių duomenų saugumą.
Savo ruožtu, nusiuntėme prašymą NKSC, jog šis pateiktų pilną „CityBee“ klientų duomenų paviešinimo kibernetinio incidento tyrimo ataskaitą Vartotojų aljansui.
Vartotojų aljansas
el.paštas: ieskinys@vartotojualjansas.lt
|