Więcej

    Centrum Bezpieczeństwa Cybernetycznego o CityBee: „dane mogły być skradzione przez złe administrowanie”

    Czytaj również...

    Dane firmy CityBee mogły być ujawnione z powodu niewłaściwego administrowania usługami w chmurze — poinformowało w środę Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) po zakończeniu dochodzenia w sprawie incydentu cybernetycznego.

    Dane klientów CityBee mogły być skradzione przez nieodpowiednie administrowanie
    | Fot. ELTA, Dainius Labutis

    Centrum przekazało raport z tego śledztwa do Departamentu Policji i Państwowej Inspekcji Ochrony Danych, które kontynuują śledztwo w sprawie incydentu.

    Czytaj więcej: Inspekcja Danych Osobowych rozpoczęła śledztwo w sprawie ukradzionych danych CityBee

    „Badanie przeprowadzone przez NKSC pokazuje, że dane klientów CityBee zostały upublicznione, ponieważ kopia zapasowa tych danych była dostępna bez dodatkowej autoryzacji po tym, gdy malewolentny osobnik odkrył sposób na połączenie się z serwerami dostawcy usług w chmurze” — powiedział dyrektor NKSC, Rytis Rainys.

    Kopia zapasowa wpadła w ręce przestępców

    Kopię zapasową bazy danych użytkowników CityBee umieściło na serwerach usługi w chmurze Microsoft Azure po skonfigurowaniu publicznego dostępu do danych. Z tego powodu osoby trzecie mogły uzyskać dostęp do danych klientów CityBee bez upoważnienia.

    Według danych, którymi dysponuje NCSC, publiczny dostęp został pozostawiony podczas migracji bazy danych w 2018 r. Lukę tę w zabezpieczeniach CityBee zamknęło dopiero po ujawnieniu incydentu w lutym tego roku.

    „Usługi w chmurze internetowej są szeroko stosowane, ale firmy korzystające z takich usług muszą znać i stosować najlepsze praktyki tych usług. Muszą zapewnić bezpieczeństwo danych tam przechowywanych” — podkreśla Rainys.

    Czytaj więcej: Dobrowolska o CityBee: na razie nie trzeba zmieniać dokumentów

    Jak się zabezpieczyć?

    Aby zapobiec podobnym incydentom, NKSC zaleca stosowanie zapór aplikacji internetowych w usługach, umożliwiać logowanie się administratora tylko za wielostopniowym uwierzytelnianiem tożsamości oraz okresową analizę kont użytkowników uprawnionych i ich działań.

    Należy zarządzać prawami dostępu zgodnie z zasadą najmniejszego przyzwolenia, tj. aby konkretny użytkownik miał tylko taki dostęp, jaki jest potrzebny do wykonania pracy, nie więcej.

    Zaleca się, aby wirtualne dyski twarde i inne poufne informacje były szyfrowane za pomocą zaufanych algorytmów kryptograficznych, a ich klucze były przechowywane w miejscu niedostępnym dla osób trzecich. Używanie specjalnych algorytmów do przechowywania haseł, takich jak Bcrypt, Argon2 mogą również stanowić rodzaj zabezpiczenia.

    Pilnowanie procesów migracji danych dokumentów, a także zapewnienie agregacji wpisów dziennika w celu identyfikacji incydentów, kupno dodatkowego scentralizowanego rozwiązania do zarządzania dostępem do chmury (Cloud Access Security Broker). Eksperci proponują też ciągłe aktualizowanie maszyn wirtualnych.

    Dochodzenie z ograniczonymi danymi

    NKSC zauważa, że prowadząc dochodzenie w sprawie wycieku danych dysponowało ograniczonym zasobem danych podanych przez CityBee.

    WIĘCEJ NIŻEJ | Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    O wycieku danych klientów CityBee poinformowano w połowie lutego. Około 110 tys. klientów wpadło w ręce cyberprzestępców, ich dane przestępcy wystawili na sprzedaż na nielegalnym forum. Nazwiska, numery telefonów, adresy e-mail użytkowników, którzy zarejestrowali się na platformie do 22 lutego 2018 r., osobiste kody, hasła.

    CityBee działa na Litwie, Łotwie, Estonii i Polsce. Flota zarządzana przez firmę liczy ponad 2 tys. pojazdów, firma posiada ponad 750 tys. zarejestrowanych klientów.

    Nie pierwszy incydent

    Nie jest to pierwszy incydent w ostatnich miesiącach na Litwie, gdy dane zostały wykradzione. Podobne wydarzenia dotykały także uczelnie i inne firmy korzystające z zasobów cyfrowych.

    Dane osobowe w rękach sprawnego przestępcy mogą stanowić potężne narzędzie. Adres zamieszkania, nazwisko, numery telefonów — takie dane mogą posłużyć do szantażu, nagabywania, budowania nielegalnych baz danych.

    Szczególnym przepisem przyczyniającym się do większego bezpieczeństwa ma być rygorystyczne RODO (lit. BDAR) — choć na Litwie zdarzają się jeszcze naruszenia, w których instytucje państwowe nie interweniują.

    WIĘCEJ NIŻEJ | Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    Czytaj więcej: Wyciekły dane portalu randkowego darnipora.lt, policja wszczęła postępowanie


    Na podst.: BNS, własne

    Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    Afisze

    Więcej od autora

    Widowisko Bożonarodzeniowe „Kiedy aniołowie schodzą na ziemię” ze Lwowa w Solecznikach [Z GALERIĄ]

    Przedstawienie przygotowane w estetyce Bożonarodzeniowej szopki, rozpoczyna się od karnawału wielkich masek, które symbolizują m. in. Matkę Bożą/Maryję, Józefa, króla Heroda, aniołów. Na placu gry pojawiają się rzemieślnicy, kupcy, chłopi, oferujący swoje towary na sprzedaż. Przedstawione są sceny obrazujące...

    Na Zaolziu i Wileńszczyźnie. Rozmowy o życiu Polaków

    Drogi Rajmundzie, umówiliśmy się, że choć raz w miesiącu napiszemy do siebie list. Miło byłoby wysłać go pocztą tradycyjną, coś mi mówi, że sprawiłoby Ci to frajdę. Na razie jednak wygrywa lenistwo — przesyłanie mailem jest prostsze. Na Zaolziu rozpoczyna się...

    „Cogito dla Polonii” i „Kumpel dla Polonii” — bezpłatne edukacyjne czasopisma dla dzieci i nastolatków!

    „Cogito dla Polonii” W „Cogito dla Polonii” — e-magazynie, który jest udostępniony w zasobach Polonijnej Biblioteki. Przekazuje on głos młodej Polonii, przedstawia osoby, które odnoszą sukcesy w środowisku polonijnym i na świecie, które działają, tworzą, które chcą być kolejnym pokoleniem...

    Pamięć o bohaterach: wyjątkowy projekt biblioteki w Jęczmieniszkach o Armii Krajowej

    Wykład historyka dr. Tomasza Bożerockiego W ramach realizacji projektu w dniu 3 grudnia br. odbyło się wyjątkowe spotkanie z historykiem Tomaszem Bożerockim. Podczas spotkania historyk szczegółowo opowiedział o Armii Krajowej, jej głównych celach i formach działalności. Przybliżył uczestnikom postać pierwszego dowódcy...