Paviešinta spraga dėl asmens duomenų nutekėjimo: mobilieji operatoriai praneša apie veiksmus ^{spraga galimai egzistavo 5-8 metus}

Gali matyti duomenis

IT ekspertas aiškino, kad spraga susijusi su telefono numerio duomenų nutekėjimu. Mat, pavyzdžiui, iš mobiliojo davus užklausą į programėlę, tarkime, statant automobilį, informaciją apie tai gali matyti ir kiti žmonės.

„Bet kas iš išorės pasijungęs neturėtų turėti galimybės tokių duomenų gauti. Jie turėtų būti prieinami tik tam vartotojui, kuris davė užklausą, o šiuo atveju, tai yra tavo mobilusis“, – komentavo jis ir pateikė pavyzdį.

„Tu atvažiavai parkuotis, prisijungei prie mobilios aplikacijos mparkingas, ir tau ta aplikacija turėtų duoti užklausą į serverį ir gauti atgal atsakymą, kad šiuo metu tavo automobilis nėra priparkuotas. Tada paspaudi parkuoti, tada tau prisijungė, pasakė, kad nuo dabar pradėjom parkuoti automobilį ir gavai atsakymą, kad nuo dabar parkingas įjungtas.

Marius Pareščius

© DELFI / Kiril Čachovskij

Po valandos laiko, norėdamas išvažiuoti, tu paspaudi, kad nutraukti parkingą. Šioje visoje technologinėje grandinėje buvo palikta klaida, kad bet kas, ne tik tu, galėtų pažiūrėti į telefono numerį ir turėtų informaciją, kas parkavo mašiną.

Tą informaciją gali pažiūrėti bet kas, kas žino algoritmą“, – sakė jis.

Anot M. Pareščiaus, pašaliniai žmonės gauna tavo telefono numerį, o vėliau gali gauti ir papildomus duomenis, tarkime, kur buvo statytas automobilis, kiek tai kainavo, kiek laiko stovėjo ir panašiai.

„Tai liečia visus operatorius, tačiau tai klaidos ne pas juos, o klaidos pačioje platformoje, kuri priima mokėjimus“, – pabrėžė jis.

IT eksperto teigimu, tokia spraga galėjo egzistuoti apie 5-8 metus.

„Manau, kad visi operatoriai turėtų sureaguoti ir pasitikrinti, ar pas juos nėra skylių. Manau, kad visi tai ir padarė iš karto, tik klausimas, kiek jie paviešino. Dažniausiai operatoriai apie tokius dalykus yra linkę nutylėti“, – svarstė ekspertas.

Sutriko viešojo transporto bilietų sistema

Apie nesklandumus vartotojams pranešė ir viešojo transporto programėlė „Trafi“.

„Visus naudojančius Tele2 mobilaus ryšio paslaugas norėtume informuoti, jog Tele2 patyrė techninių iššūkių apdorojant su SĮ „Susisiekimo paslaugos“ susijusius pirkimus.

Kai kuriems Trafi vartotojams, naudojantiems Tele2 paslaugas, yra laikinai apribotas bilietėlių pirkimas ir aktyvavimas. Norime pabrėžti, jog tai ne Trafi sistemos sutrikimas, tačiau mes ėmėmės visų įmanomų veiksmų padėtį SĮ „Susisiekimo paslaugoms“ atkurti bilietų sistemą“, – rašoma „Trafi“ programėlėje.

Apribojo paslaugų teikimą

„Delfi“ susisiekė su mobiliojo ryšio operatoriais.

„Tele2“ įmonės atstovas Andrius Baranauskas tikino, kad šiuo metu pavojaus dėl klientų duomenų saugumo nebėra. Trečiadienio rytą įmonė laikinai apribojo mokamų paslaugų teikimą. Šiuo metu per šį operatorių negalima atsiskaityti už automobilių stovėjimą, naudotis viešojo transporto bilietais, taip pat įsigyti papildomų mobiliojo ryšio duomenų paketų.

„Kadangi buvo pavojus duomenims, o mes vakar darėm eilę veiksmų, bet suvokėm, kad jis vis dar yra, tai mes tą pavojų eliminavome nutraukdami tokių paslaugų teikimą. Šiuo metu pavojaus nėra, nes paslaugos šiuo metu nėra teikiamos.

Dabar mes ieškome sprendimo, kad atkurtume paslaugas, kad būtų galima jomis naudotis.

Žmonės dabar turi nepatogumą, bet mums reikėjo rinktis, ar klientas turės nepatogumą, ar turėsime riziką“, – sakė A. Baranauskas ir teigė, kad šiuo metu yra dirbama, kad visos rizikos būtų kuo greičiau pašalintos.

Patarė neatidarinėti neaiškių nuorodų

„Bitė Lietuva“ kibernetinio ir IT saugumo vadovas Saulius Skirmantas atkreipė dėmesį, kad „Bitė“ „Susisiekimo paslaugų“ mobiliosioms aplikacijoms tiesiogiai neperduoda savo klientų asmens duomenų, taip pat ir telefono numerių.

„Perduodame tik unikalų vartotojo ID, kuris neleidžia identifikuoti žmogaus. Kovo 2 dieną, pirmadienį, gavome informacijos, jog naudojant „Susisiekimo paslaugų“ saugumo spragą yra galimybė susieti šį unikalų ID su anoniminio vartotojo telefono numeriu. Apie tai informavome „Susisiekimo paslaugas“, kurios ir kuria bei vysto programėles“, – pažymėjo jis.

Savo ruožtu „Bitės“ atstovas tikino, kad mobilaus operatoriaus kibernetinio saugumo ir IT specialistai ėmėsi diegti dar ir papildomus filtrus.

„Šį pokytį ketiname įgyvendinti, nelaukdami programėlių atnaujinimų artimiausiu metu, greičiausiai, šiandien arba rytoj“, – sakė S. Skirmantas.

Jis taip pat pabrėžė, kad jei vartotojai neatidarinės nuorodų, gautų iš neaiškių šaltinių, jų duomenys išliks saugūs. Šiuo principu reikėtų vadovautis ir kitais atvejais.

Anot S. Skirmanto, sprendimą, ar laikinai apriboti naudojimąsi programėlėmis, turėtų priimti „Susisiekimo paslaugos“.

Turi papildomų saugiklių

„Telia“ atstovas spaudai Audrius Stasiulaitis komentavo, kad transporto ir automobilių stovėjimo programėlių valdytojams mobilusis operatorius visapusiškai padeda pašalinti rizikas, susijusias su telefono numerio parodymu per mobiliojo telefono interneto naršyklę.

„Šių paslaugų savininkai jau dabar peržiūri visą sprendimo saugumo architektūrą. Esame pasirengę jiems padėti sudiegti visas reikalingas ugniasienes ir kitas asmens duomenų apsaugos priemones“, – sakė A. Stasiulaitis.

„Telia“ atstovas tikino ir tai, kad mobiliojo operatoriaus tinkle yra įdiegta papildomų saugiklių, tad kol kas stabdyti tokių programėlių kaip „m. Parking“ ar „m. Ticket“ veikimo „Telia“ neplanuoja, mat šių paslaugų saugumas esą nesusijęs su duomenų nutekėjimo rizika.

„Aptikta saugumo spraga leidžia nesąžiningų interneto svetainių savininkams gauti telefono numerį, tačiau galimybės pasinaudoti juo piktiems kėslams yra tikrai ribotos.

Daugeliu atveju tam reikalinga bankinė identifikacija, kuri naudoja labai pažangias saugumo technologijas“, – aiškino A. Stasiulaitis.

Sprendžia situaciją

Redakcija gavo ir įmonės „Susisiekimo paslaugos“ komunikacijos vadovės Miglės Bielinytės komentarą dėl situacijos.

„Šią situaciją žinome ir kuo operatyviau sprendžiame, glaudžiai bendradarbiaudami su visais mobiliojo ryšio operatoriais.

Kai tik gavome informaciją apie HTTP HE technologijos saugumo spragą, nedelsiant įvertinome pagrindines rizikas, apie situaciją informavome m.Transportas informacinės sistemos, kuriai priklauso ir m. Ticket bei m. Parking programėlės, priežiūros tiekėją. Iš savo pusės sudėliojome pirminį veiksmų planą ir iš karto pradėjome pasiruošimo darbus techniniams pakeitimams.

Esminiai pirminiai pakeitimai ir pirmieji programėlių m. Ticket ir m. Parking rezultatai testavimui iš mūsų pusės bus paruošti jau šiandien. Taip pat ir pagal operatorių paruoštus planus pritaikysime savo sistemas atsižvelgdami į numatytus pakeitimus“, – sakė ji.