Pirmasis šią žinią pranešė portalas 15min.
„Kesko Senukai Digital“ atsiųstame komentare rašo, jog bendrovės duomenys nenutekėjo, tačiau klientams patarta atsinaujinti prisijungimo slaptažodžius. Dėl neteisėtų veiksmų ji kreipėsi į teisėsaugos institucijas.
„Senukai.lt“ efektyviai užkirto kelią pasipelnyti iš svetimų paskyrų ketinusiems asmenims. Jokie klientų duomenys iš bendrovės nenutekėjo.
Sukčiai galėjo bandyti tai padaryti pasinaudodami iš kitų interneto portalų gauta prisijungimo informacija, kurią, kaip mes manome, dalis mūsų klientų naudojo kitose svetainėse“, – teigiama komentare.
Prekybos tinklo „Iki Lietuva“ Komunikacijos vadovė Vaida Budrienė sakė, kad atsakingus bendrovės darbuotojus pasiekė informacija, jog per „Telegram“ kanalą vykdoma galimai neteisėta veikla – bandoma prisijungti prie kai kurių prekybos įmonių lojalumo sistemų.
„Remiantis turima informacija, bandoma perduoti lojalumo programos dalyvių prisijungimo prie paskyrų duomenis, kurie galimai paimti iš kitų sistemų asmens duomenų pažeidimų metu nutekintų duomenų bazių, tikintis, kad tas pats slaptažodis ir el. pašto adresas bus naudojamas ir prieigai prie lojalumo programos paskyros.
„IKI Lietuva“ savo ruožtu nedelsdama atliko savo informacinių sistemų patikrą. Jokių įsilaužimo į sistemas požymių nebuvo aptikta“, – teigia V. Budrienė.
Anot jos, siekdama užtikrinti maksimalų savo lojalumo programos dalyvių saugumą, įmonė sustiprino pirkėjų lojalumo programos dalyvių paskyrų apsaugą ir ėmėsi kitų saugumo priemonių.
„IKI Lietuva“ dėl šių veiksmų kreipėsi į policiją ir Valstybinę duomenų apsaugos inspekciją.
„Klientams rekomenduojame niekada nenaudoti tų pačių slaptažodžių jungiantis prie atskirų sistemų. Būtent sukčiai tuo ir naudojasi“, – pataria V. Budrienė.
„Rimi“ teigia užregistravusi saugumo incidentą, susijusį su keliais šimtais „Mano Rimi" klientų paskyrų Lietuvoje.
„Jokių duomenų pažeidimų iš „Rimi“ sistemų ar duomenų bazių nebuvo. Pastebėjome neteisėtą prieigą prie kelių klientų paskyrų, naudojant duomenis, kurie buvo gauti iš anksčiau nutekėjusių duomenų (el. pašto adresų ir slaptažodžių) duomenų saugumo pažeidimuose, kurie niekaip nesusiję su "Rimi“, – komentuoja tinklo atstovė Eglė Krasauskienė.
Pasak jos, dėl šio įvykio „Rimi“ informavo Valstybinę Duomenų apsaugos inspekciją ir policiją.
„Taip pat greitai susisiekėme su galimai paveiktais klientais, prašydami jų iš naujo nustatyti slaptažodžius, kaip atsargumo priemonę. Šiuo metu ataka sėkmingai sušvelninta ir mums pavyko įdiegti priemones, kad apsaugotume klientų paskyras“, – teigia E. Krasauskienė.
Saugumo ekspertas: slaptažodį gali tekti keisti visur
Finansinių technologijų (fintech) sektorių bei valstybines institucijas konsultuojantis Marius Pareščius sako, kad slaptažodžius reikia nuolat keisti, niekada nesidalyti su kitais ir nelaikyti atviroje vietoje.
„Mano žiniomis, tuos slaptažodžius, apie kuriuos kalbama, rinko kažkokie telegraminiai botai. Ko gero, vartotojams buvo siunčiama reklama, kad „užeik, įvesk, laimėk“, žmogus suvedė ir tie botai pasiėmė slaptažodžius – nebuvo iš kažkur pavogti, patys vartotojai juos atidavė“, – rado prielaidą pašnekovas.
IT saugumo ekspertas Andrius Ribinskas komentuoja „Delfi“, kad jeigu slaptažodis naudojamas daugiau nei vienoje paskyroje, jį reiktų pasikeisti visur, nes piktavaliai neapsiriboja vienu taikiniu. Be to, nesvarbu, ar informacija dėl galimo nutekinimo pasitvirtina, ar ne, – geriau apsidrausti ir imtis veiksmų.
„Tokiu atveju visą laiką rekomenduojama pasikeisti prisijungimo duomenis, ypač aktualu, jeigu tas pats slaptažodis naudojamas keliose paskyrose. Pavyzdžiui, elektroninio pašto slaptažodį rekomenduojama pasikeisti, jeigu jis yra toks pats, kaip tų nutekintų paskyrų.
Bet iš tiesų, nesvarbu, ar gandai, ar patvirtinta, vis tiek rekomendacija yra pasikeisti prisijungimo duomenis bent jau tose sistemose“, – teigia A. Ribinskas.
Jis taip pat pabrėžė jau minėtą atakos pobūdį, kai tie patys duomenys įsilaužėlių išmėginami kitur.
„Yra toks atakų tipas, „credential stuffing“, kai įsilaužėliai paima duomenis iš vienų sistemų ir juos bando atkartoti kituose servisuose, su tais pačiais prisijungimo duomenimis“, – sako ekspertas.
„Geriausia praktika nėra slaptažodžių keitimas, bet naudojimas slaptažodžių tvarkyklių (angl. password manager), kad kiekvienoje paskyroje būtų unikalus slaptažodis. Ir be abejo, rekomenduojama įjungti kelių faktorių autentifikaciją, kur tai yra palaikoma, kai reikia papildomų duomenų: ar programėlės kodą suvesti, ar patvirtinti kodą, siųstą žinute, ar panašiai“, – teigia jis.
A. Ribinsko teigimu, pernelyg didelis pasitikėjimas savo išradingumu gali vėliau nuvilti.
„Slaptažodžius spėlioti pakankamai paprasta, jeigu jie sudaryti žmogaus smegenyse, iš esmės: nesvarbu, ar bus žodis, skaičius ir simbolis, – žmonių slaptažodžių sudarymo schemos yra labai panašios ir įsilaužėliai tuos dalykus žino ir pakankamai efektyviai spėlioja“, – teigia IT saugumo ekspertas.
M. Pareščius sako, kad šiuo metu rekomenduotų daugiau slaptažodžio simbolių, nei anksčiau.
„Anksčiau rekomenduodavau 8 simbolius, dabar rekomenduoju 12 simbolių. Kiekvienas slaptažodis unikalus, geriausia, kad jis būtų sugeneruotas, o ne sugalvotas. Ir juos keisti kas pusmetį, nes taip jau yra, nieko nepadarysi, programišiai nesnaudžia ir turėsime su jais kovoti.
Tam, kad būtumėte saugus, turite pastoviai keisti slaptažodžius“, – sako jis.
Ekspertas taip pat įsitikinęs, kad prisijungimo duomenys kiekvienam paslaugų teikėjui turi būti skirtingi.
„Vienai svetainei arba vienai paslaugos įmonei – vienas slaptažodis. Tai yra, kiekvienas paslaugų teikėjas – vis naujas slaptažodis. Čia vienas iš pagrindinių dalykų“, – sako M. Pareščius.
