Więcej

    Centrum Bezpieczeństwa Cybernetycznego o CityBee: „dane mogły być skradzione przez złe administrowanie”

    Czytaj również...

    Dane firmy CityBee mogły być ujawnione z powodu niewłaściwego administrowania usługami w chmurze — poinformowało w środę Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) po zakończeniu dochodzenia w sprawie incydentu cybernetycznego.

    Dane klientów CityBee mogły być skradzione przez nieodpowiednie administrowanie
    | Fot. ELTA, Dainius Labutis

    Centrum przekazało raport z tego śledztwa do Departamentu Policji i Państwowej Inspekcji Ochrony Danych, które kontynuują śledztwo w sprawie incydentu.

    Czytaj więcej: Inspekcja Danych Osobowych rozpoczęła śledztwo w sprawie ukradzionych danych CityBee

    „Badanie przeprowadzone przez NKSC pokazuje, że dane klientów CityBee zostały upublicznione, ponieważ kopia zapasowa tych danych była dostępna bez dodatkowej autoryzacji po tym, gdy malewolentny osobnik odkrył sposób na połączenie się z serwerami dostawcy usług w chmurze” — powiedział dyrektor NKSC, Rytis Rainys.

    Kopia zapasowa wpadła w ręce przestępców

    Kopię zapasową bazy danych użytkowników CityBee umieściło na serwerach usługi w chmurze Microsoft Azure po skonfigurowaniu publicznego dostępu do danych. Z tego powodu osoby trzecie mogły uzyskać dostęp do danych klientów CityBee bez upoważnienia.

    Według danych, którymi dysponuje NCSC, publiczny dostęp został pozostawiony podczas migracji bazy danych w 2018 r. Lukę tę w zabezpieczeniach CityBee zamknęło dopiero po ujawnieniu incydentu w lutym tego roku.

    „Usługi w chmurze internetowej są szeroko stosowane, ale firmy korzystające z takich usług muszą znać i stosować najlepsze praktyki tych usług. Muszą zapewnić bezpieczeństwo danych tam przechowywanych” — podkreśla Rainys.

    Czytaj więcej: Dobrowolska o CityBee: na razie nie trzeba zmieniać dokumentów

    Jak się zabezpieczyć?

    Aby zapobiec podobnym incydentom, NKSC zaleca stosowanie zapór aplikacji internetowych w usługach, umożliwiać logowanie się administratora tylko za wielostopniowym uwierzytelnianiem tożsamości oraz okresową analizę kont użytkowników uprawnionych i ich działań.

    Należy zarządzać prawami dostępu zgodnie z zasadą najmniejszego przyzwolenia, tj. aby konkretny użytkownik miał tylko taki dostęp, jaki jest potrzebny do wykonania pracy, nie więcej.

    Zaleca się, aby wirtualne dyski twarde i inne poufne informacje były szyfrowane za pomocą zaufanych algorytmów kryptograficznych, a ich klucze były przechowywane w miejscu niedostępnym dla osób trzecich. Używanie specjalnych algorytmów do przechowywania haseł, takich jak Bcrypt, Argon2 mogą również stanowić rodzaj zabezpiczenia.

    Pilnowanie procesów migracji danych dokumentów, a także zapewnienie agregacji wpisów dziennika w celu identyfikacji incydentów, kupno dodatkowego scentralizowanego rozwiązania do zarządzania dostępem do chmury (Cloud Access Security Broker). Eksperci proponują też ciągłe aktualizowanie maszyn wirtualnych.

    Dochodzenie z ograniczonymi danymi

    NKSC zauważa, że prowadząc dochodzenie w sprawie wycieku danych dysponowało ograniczonym zasobem danych podanych przez CityBee.

    WIĘCEJ NIŻEJ | Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    O wycieku danych klientów CityBee poinformowano w połowie lutego. Około 110 tys. klientów wpadło w ręce cyberprzestępców, ich dane przestępcy wystawili na sprzedaż na nielegalnym forum. Nazwiska, numery telefonów, adresy e-mail użytkowników, którzy zarejestrowali się na platformie do 22 lutego 2018 r., osobiste kody, hasła.

    CityBee działa na Litwie, Łotwie, Estonii i Polsce. Flota zarządzana przez firmę liczy ponad 2 tys. pojazdów, firma posiada ponad 750 tys. zarejestrowanych klientów.

    Nie pierwszy incydent

    Nie jest to pierwszy incydent w ostatnich miesiącach na Litwie, gdy dane zostały wykradzione. Podobne wydarzenia dotykały także uczelnie i inne firmy korzystające z zasobów cyfrowych.

    Dane osobowe w rękach sprawnego przestępcy mogą stanowić potężne narzędzie. Adres zamieszkania, nazwisko, numery telefonów — takie dane mogą posłużyć do szantażu, nagabywania, budowania nielegalnych baz danych.

    Szczególnym przepisem przyczyniającym się do większego bezpieczeństwa ma być rygorystyczne RODO (lit. BDAR) — choć na Litwie zdarzają się jeszcze naruszenia, w których instytucje państwowe nie interweniują.

    WIĘCEJ NIŻEJ | Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    Czytaj więcej: Wyciekły dane portalu randkowego darnipora.lt, policja wszczęła postępowanie


    Na podst.: BNS, własne

    Reklama na podst. ust. użytkownika.; Dzięki reklamie czytasz nas za darmo

    Afisze

    Więcej od autora

    Czerwone, niebieskie, żółte, a nawet czarne i złote 

    Bezpieczeństwo barwników syntetycznych jest kwestią kontrowersyjną. Wszystkie barwniki spożywcze mają indeks od E100 do E182, jednak nie wszystkie są jednakowo przyjazne dla człowieka. Przy czym skutki stosowania ich dla jednych ludzi mogą być w ogóle nieodczuwalne, ale dla niektórych,...

    Prezentacja książki „Tak teraz postępują uczciwi ludzie. Polacy z Wileńszczyzny ratujący Żydów”

    W wydarzeniu wzięła udział autorka książki, Ilona Lewandowska, Danutė Selčinskaja, kierowniczka projektu upamiętnienia ratujących Żydów Muzeum Historii Żydów im. Gaona Wileńskiego oraz przedstawiciele wydawcy, czyli Instytutu Polskiego w Wilnie. Wydarzenie rozpoczęło się od projekcji filmu „Świat Józefa”, który opowiada historię...

    Laurynas Kasčiūnas nowym ministrem obrony Litwy. Wśród priorytetów reforma poboru

    Prezydent ocenił kandydaturę Nominacja Kasčiūnasa została przedłożona prezydentowi przez premier Ingridę Šimonytė w zeszłym tygodniu, a głowa państwa powiedziała, że chce ocenić informacje dostarczone przez służby na temat kandydata.Arvydas Anušauskas, który do tej pory pełnił funkcję ministra, podał się do...

    Centrum Kultury Samorządu Rejonu Solecznickiego zaprasza na koncert chóru „Res Musica” z Gryfina

    Chór też zaśpiewa podczas nabożeństwa. Chór „Res Musica” w Gryfinie działa od 23 lat. Występował w kraju i za granicą. W swoim dorobku posiada złote, srebrne i brązowe dyplomy zdobyte na festiwalach i w konkursach chóralnych. Założycielem i pierwszym dyrygentem...