„CityBee“ duomenų bazę paviešinęs įsilaužėlis: kompanijos niekaip nepasimoko
Automobilių dalijimosi paslaugos CityBee klientų duomenis interneto forume paskelbęs programišius sako, kad įmonės saugumo priemonės buvo prastos, ir tikina, kad paviešino viską, ką turėjo.
Interneto forumo RaidForums narys slapyvardžiu 000 pirmadienį paskelbė CityBee informaciją apie klientus, užsiregistravusius iki 2018-ųjų vasario.
Pirmiausia noriu atsiprašyti, jei jus ar ką nors, ką pažįstate, paveikė šis incidentas. Iš pradžių nesupratau, kad CityBee yra tokia didelė įmonė, rašo jis.
Taigi, CityBee saugumas kelia nerimą. Jau matėme, kaip kitos bendrovės buvo nulaužtos tokiu pačiu būdu, nesvarbu, ar tai būtų atviri S3 kibirai, ar Azure Blobs, esmė, kad įmonės nepasimoko, priduria programišius.
Nuotrauka::1
Po įrašu jis viešai paskelbė ir savo kontaktus. Naujienų agentūra BNS su juo susisiekė programėle Telegram.
Tai, ką paskelbiau, yra viskas, ką turiu. Jei būčiau tam skyręs daugiau laiko, ko gero, būčiau galėjęs gauti ir naujausią informaciją, sako CityBee klientų duomenis paskelbęs asmuo.
Anot jo, CityBee duomenų apsauga yra itin prasta, esą prie jų galėjo prieiti kone bet kas, atradęs saugumo spragą ir turėjęs šiek tiek IT žinių.
CityBee naudojo Microsoft teikiamą Azure Blob duomenų saugyklos paslaugą. Microsoft leidžia užtikrinti šių saugyklų saugumą su papildoma autentifikacija, tačiau CityBee dėl kažkokios priežasties pasirinko to nedaryti, teigia jis.
Tyrėjai, programišiai ir programuotojai naudoja vadinamuosius DNS įrašus, kurie yra kaip telefonų knyga, kuri išsišakoja į kitus domenus, susijusius su pagrindiniu domenu. Atlikau paiešką Citybee CNAME tipo DNS įrašuose, per kuriuos ir radau sąsają su Azure saugykla, pasakoja 000.
Kitaip sakant, duomenų bazės kopija buvo prieinama viešai, reikėjo tik atspėti aplanko, kuriame ji buvo laikoma, pavadinimą.
Atrado atsitiktinai
Jis priduria CityBee atradęs atsitiktinai, o labiausiai besidomintis JAV kompanijų duomenimis. CityBee duomenis paskelbęs įsilaužėlis tvirtina nesitikėjęs, kad ši istorija sulauks tokio atgarsio.
Iš pradžių galvojau, kad tai bus tik dar vienas duomenų nutekinimas, už kurį gausiu porą kreditų. Tačiau ryte pamačiau, kad tema sprogo, pažiūrėjau į naujienas Lietuvoje ir pamačiau žalą, sako jis.
Teigiama, kad 000 veikė kartu su kitais forumo dalyviais Goofy TaeTae ir ISUPK.
110.000 asmenų
Apie tai, kad trejų metų senumo CityBee naudotojų duomenys buvo paskelbti internete, pranešta pirmadienio vakarą. Bendrovė teigia, kad nutekėjo apie 110.000 klientų duomenys.
Tarp programišių paskelbtų duomenų yra klientų el. pašto adresai, telefono numeriai, asmens kodai, užkoduoti slaptažodžiai.
Tyrimą dėl duomenų vagystės pradėjo Lietuvos kriminalinės policijos biuras.
Už neteistą elektroninių duomenų perėmimą ir panaudojimą gresia bauda arba laisvės atėmimas iki ketverių metų.
CityBee vadovas Kristijonas Kaikaris antradienį spaudos konferencijoje sakė, kad programišiai vartotojų mokėjimo duomenų nepavogė, nes bendrovė šių duomenų nekaupia ir nelaiko.
Savo klientus, kurie bendrovės sistemoje registravosi iki 2018-ųjų vasario 22 dienos, CityBee ragina pakeisti savo slaptažodžius tiek CityBee sistemoje, tiek kitose sistemose, jei buvo naudotas toks pats ar panašus slaptažodis.
CityBee veikia Lietuvoje, Latvijoje, Estijoje ir Lenkijoje. Bendrovės valdomą automobilių parką sudaro daugiau nei 2.000 transporto priemonių, įmonė turi daugiau kaip 750.000 registruotų klientų.
[infogram id="aef06213-db76-4a57-9ea9-a5e78af9c5e5" prefix="Yj1" format="interactive" title="UAB CityBee Solutions: dosjė"]
Pasirinkite jus dominančias įmones ir temas asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos Verslo žiniose, Sodros, Registrų centro ir kt. šaltiniuose
Prisijungti
Prisijungti
Prisijungti
Prisijungti