Więcej

    Centrum Bezpieczeństwa Cybernetycznego o CityBee: „dane mogły być skradzione przez złe administrowanie”

    Czytaj również...

    Dane firmy CityBee mogły być ujawnione z powodu niewłaściwego administrowania usługami w chmurze — poinformowało w środę Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) po zakończeniu dochodzenia w sprawie incydentu cybernetycznego.

    Dane klientów CityBee mogły być skradzione przez nieodpowiednie administrowanie
    | Fot. ELTA, Dainius Labutis

    Centrum przekazało raport z tego śledztwa do Departamentu Policji i Państwowej Inspekcji Ochrony Danych, które kontynuują śledztwo w sprawie incydentu.

    Czytaj więcej: Inspekcja Danych Osobowych rozpoczęła śledztwo w sprawie ukradzionych danych CityBee

    Reklama (dobiera algorytm zewnętrzny na podst. ustawień czytelnika)

    „Badanie przeprowadzone przez NKSC pokazuje, że dane klientów CityBee zostały upublicznione, ponieważ kopia zapasowa tych danych była dostępna bez dodatkowej autoryzacji po tym, gdy malewolentny osobnik odkrył sposób na połączenie się z serwerami dostawcy usług w chmurze” — powiedział dyrektor NKSC, Rytis Rainys.

    Kopia zapasowa wpadła w ręce przestępców

    Kopię zapasową bazy danych użytkowników CityBee umieściło na serwerach usługi w chmurze Microsoft Azure po skonfigurowaniu publicznego dostępu do danych. Z tego powodu osoby trzecie mogły uzyskać dostęp do danych klientów CityBee bez upoważnienia.

    Według danych, którymi dysponuje NCSC, publiczny dostęp został pozostawiony podczas migracji bazy danych w 2018 r. Lukę tę w zabezpieczeniach CityBee zamknęło dopiero po ujawnieniu incydentu w lutym tego roku.

    „Usługi w chmurze internetowej są szeroko stosowane, ale firmy korzystające z takich usług muszą znać i stosować najlepsze praktyki tych usług. Muszą zapewnić bezpieczeństwo danych tam przechowywanych” — podkreśla Rainys.

    Czytaj więcej: Dobrowolska o CityBee: na razie nie trzeba zmieniać dokumentów

    Jak się zabezpieczyć?

    Aby zapobiec podobnym incydentom, NKSC zaleca stosowanie zapór aplikacji internetowych w usługach, umożliwiać logowanie się administratora tylko za wielostopniowym uwierzytelnianiem tożsamości oraz okresową analizę kont użytkowników uprawnionych i ich działań.

    Należy zarządzać prawami dostępu zgodnie z zasadą najmniejszego przyzwolenia, tj. aby konkretny użytkownik miał tylko taki dostęp, jaki jest potrzebny do wykonania pracy, nie więcej.

    Zaleca się, aby wirtualne dyski twarde i inne poufne informacje były szyfrowane za pomocą zaufanych algorytmów kryptograficznych, a ich klucze były przechowywane w miejscu niedostępnym dla osób trzecich. Używanie specjalnych algorytmów do przechowywania haseł, takich jak Bcrypt, Argon2 mogą również stanowić rodzaj zabezpiczenia.

    Pilnowanie procesów migracji danych dokumentów, a także zapewnienie agregacji wpisów dziennika w celu identyfikacji incydentów, kupno dodatkowego scentralizowanego rozwiązania do zarządzania dostępem do chmury (Cloud Access Security Broker). Eksperci proponują też ciągłe aktualizowanie maszyn wirtualnych.

    Dochodzenie z ograniczonymi danymi

    NKSC zauważa, że prowadząc dochodzenie w sprawie wycieku danych dysponowało ograniczonym zasobem danych podanych przez CityBee.

    O wycieku danych klientów CityBee poinformowano w połowie lutego. Około 110 tys. klientów wpadło w ręce cyberprzestępców, ich dane przestępcy wystawili na sprzedaż na nielegalnym forum. Nazwiska, numery telefonów, adresy e-mail użytkowników, którzy zarejestrowali się na platformie do 22 lutego 2018 r., osobiste kody, hasła.

    CityBee działa na Litwie, Łotwie, Estonii i Polsce. Flota zarządzana przez firmę liczy ponad 2 tys. pojazdów, firma posiada ponad 750 tys. zarejestrowanych klientów.

    Nie pierwszy incydent

    Nie jest to pierwszy incydent w ostatnich miesiącach na Litwie, gdy dane zostały wykradzione. Podobne wydarzenia dotykały także uczelnie i inne firmy korzystające z zasobów cyfrowych.

    Dane osobowe w rękach sprawnego przestępcy mogą stanowić potężne narzędzie. Adres zamieszkania, nazwisko, numery telefonów — takie dane mogą posłużyć do szantażu, nagabywania, budowania nielegalnych baz danych.

    Szczególnym przepisem przyczyniającym się do większego bezpieczeństwa ma być rygorystyczne RODO (lit. BDAR) — choć na Litwie zdarzają się jeszcze naruszenia, w których instytucje państwowe nie interweniują.

    Czytaj więcej: Wyciekły dane portalu randkowego darnipora.lt, policja wszczęła postępowanie


    Na podst.: BNS, własne

    Reklama (dobiera algorytm zewnętrzny na podst. ustawień czytelnika)

    Afisze

    Więcej od autora

    Tegoroczną Nagrodę Wolności poświęcono prezydentowi Ukrainy Wołodymyrowi Zełenskiemu

    Ukraina — państwo demokratyczne „Dzisiaj Ukraina jest europejskim państwem demokratycznym, które musi walczyć o przetrwanie swojego terytorium, kultury i narodu, a także o wolność nas wszystkich. Dlatego Komisja Nagrody Wolności proponuje przyznać tegoroczną Nagrodę Wolności prezydentowi Ukrainy za zasługi jego...

    Nauka, która robi biznes z biznesem czyli Konferencja z Polonią Sieci Badawczej Łukasiewicz

    Prelegentami będzie 16 polskich naukowców z czołowych ośrodków badawczych na świecie oraz praktyków biznesu. Wydarzenie rozpocznie się 15 grudnia o 16:00 w siedzibie Łukasiewicz - Instytut Lotnictwa oraz online. Nazwa wydarzenia: Konferencja z Polonią 2022 Początek wydarzenia: 15 grudnia 2022 r....

    155. rocznica urodzin Marszałka Piłsudskiego w Zułowie [GALERIA]

    5 grudnia 1867 r. w majątku Zułów urodził się Józef Klemens Piłsudski. Do dziś w Zułowie mieszkańcy Wileńszczyzny upamiętniają ważne rocznice, w tym dzień narodzin Marszałka Piłsudskiego. W tym roku uroczyste obchody 155. rocznicy urodzin Marszałka zorganizował Urząd do...

    Poszukuję śladów rodziny na Wileńszczyźnie

    Wiele informacji o rodzinie udało mi się zebrać, ale zagadką pozostaje stary pergamin, który widziałem w domu rodzinnym.  Mojemu ojcu i babci udało się wyrwać z Sowietów dopiero w 1922 roku. Wiadomo, w jakim stanie wrócili… Kilka lat później, mój ojciec Edmund Wojciechowicz...