Pažeidimo mastas dar nėra žinomas
Programėlė „Ignitis ON“, kuria naudojasi elektromobilių vairuotojai, šiandien veikia lyg niekur nieko, nors dar prieš keletą dienų buvo programišių taikinyje. Vartotojai buvo atjungti nuo programėlės, negalėjo įsikrauti savo elektromobilių.
„Mes nekalbame apie vieną ar du asmenis, o apie visą sąrašą asmenų – apie dešimtis tūkstančių“, – teigė Vartotojų aljanso narys Rytis Jokubauskas.
Atakos organizatoriai pagrobė ir dar tą pačią dieną socialiniame tinkle Telegram nutekino 20-ties tūkstančių elektromobilių tinklo „Ignitis ON“ klientų duomenis.
„Tai yra klientų duomenys ir mes tikrai labai atsiprašome už tai, kas įvyko“, – apgailestavo „Ignitis“ atstovė Laura Beganskienė.
„Viena vertus, tai yra asmeniniai duomenys, kita vertus – dar buvo informacijos apie techninius duomenis, tai yra stotelių duomenis“, – pastebėjo Kibernetinio saugumo ekspertų asociacijos vadovė Renata Karpavičė.
Pasisavinti buvo elektromobilių vairuotojų vardai, pavardės, elektroninio pašto adresai ir dalies vartotojų elektromobilių valstybiniai numeriai. „Ignitis“ tikina, kad programišiai negavo tik pačios jautriausios informacijos.
„Nebuvo kaupiami ir nėra nutekinti su mokėjimų informacija susiję duomenys – nei banko sąskaitos, nei mokėjimo kortelių duomenys, nei kita jautri informacija, kaip, pavyzdžiui, asmens kodai“, – tvirtino L. Beganskienė.
Portalui 15min.lt kibernetinio saugumo ekspertas teigė, kad tarp paviešintų duomenų yra kriptuoti kreditinių kortelių numeriai, tačiau „Ignitis“ – tai neigia.
„Nežinome viso pažeidimo masto, bet, deja, patirtis rodo, kad visiškai 100 procentų pasitikėti verslu, kurio valdomi duomenys nutekėjo, nelabai galima“, – teigė R. Jokubauskas.
Pradėjo vidinį tyrimą
„Ignitis“ – ir visuomeninis, ir nepriklausomas elektros tiekėjas, dujų tiekėjas, bet šių paslaugų klientai esą gali būti ramūs.
„Ta „Ignitis ON“ paslauga, sistema veikia debesyje. Kaip paslauga, ji yra atskirta nuo grupės kitos IT infrastruktūros. Čia yra gera žinia, kad kitų „Ignitis“ paslaugų klientų duomenys yra saugūs“, – teigė „Ignitis“ atstovė.
Vis dėlto, ekspertai siūlo atkreipti dėmesį į tam tikrus dalykus.
„Reikia suprasti, ką reiškia „debesyje“. Tai nėra kažkoks rišinys, pakabintas danguje. Tai, iš tikrųjų, yra ta pati kompiuterinė technika, programinė įranga ir tai yra interneto ryšys, tik visa tai yra nutolę. Tai nėra tos pačios įmonės patalpose arba jai priklausančiuose kažkokiuose filialuose“, – teigė Kibernetinio saugumo ekspertų asociacijos vadovė.
Kaip įsilaužėliai priėjo prie duomenų ir sutrikdė visą elektromobilių tinklą – atsakymų dar nėra. „Ignitis“ atlieka vidinį tyrimą.
„Tai galėjo būti socialinė inžinerija, galėjo būti tas pats fishingas, galėjo būti programinės įrangos pažeidžiamumas“, – svarstė R. Karpavičė.
Duomenų apsaugos inspekcija tyrimo dar nepradėjo
Kol žmonių duomenys sklaido po virtualią erdvę, valstybinės įstaigos laukia, kada bus informuotos atskirai.
„Apie įvykusį asmens duomenų saugumo pažeidimą nesame gavę atskiro pranešimo. Apie šį incidentą mums yra žinoma tik iš viešosios erdvės“, – teigė Duomenų apsaugos inspekcijos IT skyriaus vadovė Lina Lelešienė.
Ar „Ignitis“ padarė viską, kad apsaugotų elektromobilių vairuotojus, paaiškės tik po Duomenų inspekcijos tyrimo, kurio įstaiga dar nepradėjo.
„Mes atliksime tyrimą. Gavę pranešimą – iškart imsimės veiksmų. Įvertinsime, ar duomenų valdytojas ėmėsi tinkamų veiksmų“, – teigė L. Lelešienė.
„Ignitis“ ragina vartotojus pakeisti slaptažodžius ir kitose paskyrose. Nukentėjusieji esą turėtų ruoštis galimoms sukčių atakoms.
„Jeigu nutekėjo, pavyzdžiui, valstybinis automobilio numeris – vartotojas gali sulaukti priminimo apie tai, kad pasibaigia jo civilinės atsakomybės draudimas ir iškart bus atsiųsta sąskaita, į kurią yra siūloma apmokėti“, – vieną iš galimų scenarijų įvardijo R. Jokubauskas.
Jeigu „Ignitis“ netinkamai saugojo duomenis – vartotojų aljansas teigia, kad žmonėms priklausys kompensacijos.
Visą reportažą žiūrėkite LNK portale:
