NKSC: „CityBee“ duomenys galėjo nutekėti dėl netinkamo debesijos administravimo

Rytis Rainys, Nacionalinio kibernetinio saugumo centro direktorius. Juditos Grigelytės (VŽ) nuotr.

Nacionalinis kibernetinio saugumo centras (NKSC) baigė „CityBee“ klientų duomenų vagystės tyrimą ir jo ataskaitą perdavė tyrimus dėl šio incidento tęsiantiems Policijos departamentui ir Valstybinei duomenų apsaugos inspekcijai. Šiai tarus žodį, bus aišku, ar verta su „CityBee“ teistis.

NKSC vertinimu, piktavaliai bendrovės klientų duomenis galėjo pasisavinti dėl netinkamo debesijos paslaugų naudojimo. Tai pirmas signalas, kad bendrovė nepadarė visko, kad apsaugotų klientų duomenis. O tai reiškia, kad prievaizdai gali fiksuoti ir asmens duomenų tvarkymo taisyklių pažeidimus, kas savo ruožtu gerokai padidintų grupinio ieškinio sėkmės tikimybę.

„NKSC atliktas tyrimas rodo, kad „CityBee“ klientų duomenys buvo paviešinti, nes rezervinė tų duomenų kopija buvo prieinama be papildomos autorizacijos, piktavaliui atradus būdą prisijungti prie internetinės debesijos paslaugų teikėjo tarnybinių stočių“, – teigia Rytis Rainys, NKSC direktorius.

„CityBee“ naudotojų duomenų bazės rezervinė kopija buvo patalpinta „Microsoft Azure“ debesijos paslaugų tarnybinėse stotyse atlikus nustatymus, kad duomenų prieiga būtų vieša. Dėl šios priežasties buvo sudarytos sąlygos tretiesiems asmenims be autorizacijos pasiekti „CityBee“ klientų duomenis ir juos pasisavinti.

NKSC turimais duomenimis, vieša prieiga buvo palikta vykdant duomenų bazės migravimą 2018 m. ir ši kibernetinio saugumo spraga buvo užkardyta tik paaiškėjus apie incidentą šių metų vasarį.

„Internetinės debesijos paslaugos yra plačiai naudojamos, tačiau bendrovės, besinaudojančios tokiomis paslaugomis, privalo žinoti ir naudoti tokių paslaugų gerąsias praktikas bei užtikrinti ten esančių duomenų saugumą“, – pažymi R. Rainys.