Dane firmy CityBee mogły być ujawnione z powodu niewłaściwego administrowania usługami w chmurze — poinformowało w środę Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) po zakończeniu dochodzenia w sprawie incydentu cybernetycznego.
| Fot. ELTA, Dainius Labutis
Centrum przekazało raport z tego śledztwa do Departamentu Policji i Państwowej Inspekcji Ochrony Danych, które kontynuują śledztwo w sprawie incydentu.
Czytaj więcej: Inspekcja Danych Osobowych rozpoczęła śledztwo w sprawie ukradzionych danych CityBee
„Badanie przeprowadzone przez NKSC pokazuje, że dane klientów CityBee zostały upublicznione, ponieważ kopia zapasowa tych danych była dostępna bez dodatkowej autoryzacji po tym, gdy malewolentny osobnik odkrył sposób na połączenie się z serwerami dostawcy usług w chmurze” — powiedział dyrektor NKSC, Rytis Rainys.
Kopia zapasowa wpadła w ręce przestępców
Kopię zapasową bazy danych użytkowników CityBee umieściło na serwerach usługi w chmurze Microsoft Azure po skonfigurowaniu publicznego dostępu do danych. Z tego powodu osoby trzecie mogły uzyskać dostęp do danych klientów CityBee bez upoważnienia.
Według danych, którymi dysponuje NCSC, publiczny dostęp został pozostawiony podczas migracji bazy danych w 2018 r. Lukę tę w zabezpieczeniach CityBee zamknęło dopiero po ujawnieniu incydentu w lutym tego roku.
„Usługi w chmurze internetowej są szeroko stosowane, ale firmy korzystające z takich usług muszą znać i stosować najlepsze praktyki tych usług. Muszą zapewnić bezpieczeństwo danych tam przechowywanych” — podkreśla Rainys.
Czytaj więcej: Dobrowolska o CityBee: na razie nie trzeba zmieniać dokumentów
Jak się zabezpieczyć?
Aby zapobiec podobnym incydentom, NKSC zaleca stosowanie zapór aplikacji internetowych w usługach, umożliwiać logowanie się administratora tylko za wielostopniowym uwierzytelnianiem tożsamości oraz okresową analizę kont użytkowników uprawnionych i ich działań.
Należy zarządzać prawami dostępu zgodnie z zasadą najmniejszego przyzwolenia, tj. aby konkretny użytkownik miał tylko taki dostęp, jaki jest potrzebny do wykonania pracy, nie więcej.
Zaleca się, aby wirtualne dyski twarde i inne poufne informacje były szyfrowane za pomocą zaufanych algorytmów kryptograficznych, a ich klucze były przechowywane w miejscu niedostępnym dla osób trzecich. Używanie specjalnych algorytmów do przechowywania haseł, takich jak Bcrypt, Argon2 mogą również stanowić rodzaj zabezpiczenia.
Pilnowanie procesów migracji danych dokumentów, a także zapewnienie agregacji wpisów dziennika w celu identyfikacji incydentów, kupno dodatkowego scentralizowanego rozwiązania do zarządzania dostępem do chmury (Cloud Access Security Broker). Eksperci proponują też ciągłe aktualizowanie maszyn wirtualnych.
Dochodzenie z ograniczonymi danymi
NKSC zauważa, że prowadząc dochodzenie w sprawie wycieku danych dysponowało ograniczonym zasobem danych podanych przez CityBee.
O wycieku danych klientów CityBee poinformowano w połowie lutego. Około 110 tys. klientów wpadło w ręce cyberprzestępców, ich dane przestępcy wystawili na sprzedaż na nielegalnym forum. Nazwiska, numery telefonów, adresy e-mail użytkowników, którzy zarejestrowali się na platformie do 22 lutego 2018 r., osobiste kody, hasła.
CityBee działa na Litwie, Łotwie, Estonii i Polsce. Flota zarządzana przez firmę liczy ponad 2 tys. pojazdów, firma posiada ponad 750 tys. zarejestrowanych klientów.
Nie pierwszy incydent
Nie jest to pierwszy incydent w ostatnich miesiącach na Litwie, gdy dane zostały wykradzione. Podobne wydarzenia dotykały także uczelnie i inne firmy korzystające z zasobów cyfrowych.
Dane osobowe w rękach sprawnego przestępcy mogą stanowić potężne narzędzie. Adres zamieszkania, nazwisko, numery telefonów — takie dane mogą posłużyć do szantażu, nagabywania, budowania nielegalnych baz danych.
Szczególnym przepisem przyczyniającym się do większego bezpieczeństwa ma być rygorystyczne RODO (lit. BDAR) — choć na Litwie zdarzają się jeszcze naruszenia, w których instytucje państwowe nie interweniują.
Czytaj więcej: Wyciekły dane portalu randkowego darnipora.lt, policja wszczęła postępowanie
Na podst.: BNS, własne