- BNS inf.
- Teksto dydis:
- Spausdinti
„CityBee“ vartotojų duomenys galėjo būti paviešinti dėl netinkamo debesijos paslaugų administravimo, trečiadienį pranešė Nacionalinis kibernetinio saugumo centras (NKSC), baigęs kibernetinio incidento tyrimą.
Šio tyrimo ataskaitą centras perdavė tyrimus dėl įvykio tęsiantiems Policijos departamentui ir Valstybinei duomenų apsaugos inspekcijai.
„NKSC atliktas tyrimas rodo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos piktavaliui atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių“, – teigia NKSC direktorius Rytis Rainys.
„CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. Dėl šios priežasties buvo sudarytos sąlygos tretiesiems asmenims be autorizacijos pasiekti „CityBee“ klientų duomenis ir juos pasisavinti.
NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 metais ir ši kibernetinio saugumo spraga buvo užkardyta tik paaiškėjus apie incidentą šių metų vasarį.
„Internetinės debesijos paslaugos yra plačiai naudojamos, tačiau bendrovės, besinaudojančios tokiomis paslaugomis, privalo žinoti ir naudoti tokių paslaugų gerąsias praktikas bei užtikrinti ten esančių duomenų saugumą“, – pabrėžia R. Rainys.
Siekiant išvengti panašių incidentų, NKSC rekomenduoja debesijos paslaugose naudoti ugniasienes aplikacijos lygmenyje (angl. – web application firewall), įgalinti administratorių prisijungimus tik patvirtinus tapatybę keliais faktoriais (angl. – multi-factor authentication), periodiškai atlikti privilegijuotų naudotojų paskyrų ir jų veiksmų analizę, valdyti prieigos teises pagal mažiausios privilegijos principą.
Virtualius kietuosius diskus ir kitą jautrią informaciją rekomenduojama šifruoti patikimais kriptografiniais algoritmais, o jų raktus saugoti tretiesiems asmenims neprieinamose vietose. Slaptažodžių saugojimui naudoti tam skirtus specialius algoritmus, tokius kaip „Bcrypt“, „Argon2“, dokumentuoti duomenų migravimo procesus, taip pat užtikrinti žurnalinių įrašų agregavimą incidentų identifikavimui, įsigyti papildomus centralizuotus debesijos paslaugų valdymo sprendimus (angl. Cloud Access Security Broker). Taip pat siūloma vykdyti nuolatinį virtualių mašinų atnaujinimą.
NKSC atkreipia dėmesį, jog tirdamas šio kibernetinio incidento tyrimo aplinkybes disponavo ribota tyrimui pateikta „CityBee“ informacija.
Apie „CityBee“ klientų duomenų nutekėjimą paskelbta vasario viduryje. Į programišių rankas pakliuvo ir buvo viešai paskelbta apie 110 tūkst. vartotojų, kurie platformoje užsiregistravo iki 2018-ųjų vasario 22 dienos, vardai, telefono numeriai, el. pašto adresai, asmens kodai, slaptažodžiai.
„CityBee“ veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2 tūkst. transporto priemonių, įmonė turi daugiau kaip 750 tūkst. registruotų klientų bazę.
SUSIJĘ STRAIPSNIAI
-
A. Zuokas pardavė vyninių verslą1
Buvęs Vilniaus meras Artūras Zuokas savo vyno parduotuves, pavadintas „Zenoteca“ vardu, pardavė „Vynoteką“ valdančiai bendrovei, skelbia „Delfi“. ...
-
Teismas atmetė „Ryanair“ ir „Wizz Air“ skundus dėl naujų Vilniaus oro uosto rinkliavų1
Teismas atmetė Airijos ir Vengrijos oro bendrovių „Ryanair“ ir „Wizz Air“ skundus dėl 2023 metais padidintų rinkliavų Vilniaus oro uoste, pranešė Lietuvos oro uostai (LTOU). ...
-
Kaip per Velykas dirbs prekybos ir laisvalaikio centras „Mega“
Prekybos ir laisvalaikio centras „Mega“ praneša, kad šeštadienį prieš Velykas, kovo 30 d., dirbs pirkėjams įprastu grafiku, o štai šventinį Velykų sekmadienį nedirbs visai. ...
-
Senos, avarinės būklės patalpos Garliavoje atgijo prekybai ir bendruomenės poreikiams1
„Iš lauko – ant stalo“ tokiu šūkiu antrus metus Garliavos miestelio bendruomenę pasitinka „Ūkio sakmės“ turgelis, kuriame ne tik gausus vietinių ūkininkų ir gamintojų produkcijos asortimentas, bet ir edukacin...
-
Apeliacinis teismas pripažino – likviduojamos „Arvi fertis“ bankrotą T. Dudėnas inicijavo tyčia1
Lietuvos apeliacinis teismas patvirtino, kad likviduojamos bendrovės „Arvi fertis“ bankrotas buvo tyčinis, ir paliko galioti metų pradžioje apygardos teismo priimtą nutartį. Pagal ją buvusiam įmonės vadovui Tomui Dudėnui taip pat metams a...
-
„Žalgiris“ priėmė tvarumo iššūkį – per renginius naudos daugkartinius puodelius2
Po masinių renginių stadionuose bei arenose susikaupia daugybė aplinką teršiančių vienkartinių indų, todėl „Žalgirio“ arenos atstovai pristato alternatyvą – daugkartinio naudojimo puodelius. Prognozuojama, kad įgyvendinus i...
-
Stalo dekoras – ne tik akims, bet ir sielai. Velykų belaukiant...1
Šiandieninės stalo serviravimo tendencijos – tai senovės kilmingųjų palikimas derinamas su naujausiomis dekoravimo madomis. ...
-
Velykinis stalas gali būti ne tik gausus, bet ir stilingas – naujausios dekoro tendencijos
Nors kalendorinis pavasaris jau čia, visi žino – spalvingiausią ir gražiausią metų sezoną pradeda Velykos. Juk būtent ši šventė asocijuojasi su ryškiomis spalvomis, ką tik pražydusiomis gėlėmis ir kitais pavasario akcent...
-
A. Armonaitė lankosi programinės įrangos kūrimo įmonėje: Lietuva gali turėti naują vienaragį9
Ekonomikos ir inovacijų ministrė Aušrinė Armonaitė ketvirtadienį lankosi Vilniaus programinės įrangos saulės elektrinėms kūrimo įmonėje „PVcase“. Anot jos, „PVcase“ galėtų tapti trečiuoju Lietuvos „vienaragiu...
-
VPT vadovas: išvada dėl Nacionalinio stadiono koncesijos sutarties – netrukus7
Viešųjų pirkimų tarnyba (VPT) netrukus baigs rašyti išvadą dėl būsimo Nacionalinio stadiono komplekso koncesijos sutarties, žada įstaigos vadovas. Pasak Dariaus Vedricko, išvada bus paviešina šią arba kitą sa...