Bilietai.lt galimai turi rimtų saugumo problemų: internete pasirodė vartotojų duomenys, bilietai, dovanų čekiai, informaciją patvirtino ir vienas iš pirkėjų

Lukas Snarskis

2023-03-29, 17:25 (atnaujinta 2023-03-30, 11:13)

0 komentarų

Vis daugiau kasdienių užduočių – tiek darbe, tiek asmeniniame gyvenime – atliekame virtualioje erdvėje. Niekam ne paslaptis, jog tuo dažnai bando pasinaudoti ir įvairius sukčiai. Žinoma, kai kuriais atvejais tai nulemia ne pačios tinkamiausios sistemų apsaugos, o tuo įsitikinti galime ir dabar.

Prasidėjo mega „Aliexpress“ išpardavimai – sutaupykite net iki 70 proc.
Bilietai.lt galimai turi rimtų saugumo problemų: internete pasirodė vartotojų duomenys, bilietai, dovanų čekiai, informaciją patvirtino ir vienas iš pirkėjų

Šiandien viename lietuviškame verslo ir IT bendruomenės forume pasirodė pranešimas, kuriame siūloma galimybė gauti informaciją apie „Bilietai.lt“ platformoje pirkėjų pirktus bilietus, dovanų čekius, o kai kuriais atvejais ir asmeninius duomenis. Skelbiama, kad į asmuo žino sistemos pažeidžiamumą, kuris leidžia prieiti prie visos šios informacijos, o taip pat pateikiama kaip būtų galima iš to uždirbti.

Viešai prieiname forume asmuo pateikė įvairius įrodymus, kuriuose galima matyti ne tik jau pirktus ir panaudotus dovanų čekius ar bilietus į įvairiausius renginius, bet taip pat pateikta ir šimtai nuorodų su pirkėjų užsakymų patvirtinimais (sąskaitomis), kur matomas užsakovo el. pašto adresas, asmens kodas ar telefono numeris. Negana to, asmuo pateikė ir nuotrauką, kurioje galima matyti vieno asmens visus pirktus bilietus – renginio pavadinimas, pirkimo data, užsakymo numeris ir kita informacija.

Informaciją pateikiantis asmuo pažymi, kad turint tokią informaciją, priklausomai nuo įgūdžių bei renginių, galima uždirbti nuo 1 tūkst. iki 5 tūkst. eurų per mėnesį, o toks uždarbis galimas parduodant bilietus ar kuponus už žemesnę kainą kitiems asmenims. Įdomu ir tai, jog analogišką saugumo spragą galimai turi ir kitose šalyse veikiančios „Bilietai.lt“ svetainės. Estijoje – „Piletilevli.ee“, Latvijoje – „Bilesuserviss.lv“ ar Baltarusijoje – „Kvitki.by“.

Teigiama, kad anoniminis asmuo prieš metus ar du bandė susisiekti su „Bilietai.lt“ ir įspėti apie esamą spragą, tačiau į jo užklausas sureaguota nebuvo. Telefonai.eu susisiekė su neprisistačiusiu asmeniu, kuris patikino, jog jo aptikta saugumo skylė yra prieinamai atvirai ir papildomai laužtis į serverį ar administracinę puslapio pusę nereikia. Pastarojo teigimu, jis turi daugiau nei du metus renkamą informaciją.

Telefonai.eu šaltinių duomenimis, vienas iš variantų kaip tokie duomenys galėjo atsidurti trečiųjų asmenų rankose – buvo naudojama SQL injekcija į „Bilietai.lt“ sistemos duomenų bazę arba aptiktos tam tikros prisijungimo spragos. Tai piktavaliui galėjo padėti aptikti du parametrus, kurie reikalingi gauti klientų užsakymų informacijai.

„Norint gauti tokius duomenis apie užsakymą, šiuo atveju, reikia turėti du parametrus, kurie turi sutapti su įrašytais duomenų bazėje. Žinant tik vieną – informacijos gauti nepavyks, tačiau jeigu abu jie sutampa – sistema pateikia atsakymą“, - teigė anonimu norėjęs likti programuotojas.

Įdomu ir tai, jog aukščiau pateiktoje nuotraukoje matyti šios dienos, trečiadienio, data. Tai rodo, kad duomenis turintis asmuo prie „Bilietai.lt“ informacijos prieigą turi iki šiol. Verta paminėti, jog lietuviškame forume skelbta informacija dienos eigoje buvo pašalinta.

Telefonai.eu ir portalui lrytas.lt pavyko susisiekti su asmeniu, kurio vardas ir pavardė figūruoja tarp nutekintos informacijos. Pastarasis patvirtino, jog pastaruoju metu pirko nemažai bilietų iš Bilietai.lt platinimo sistemos. Jis patvirtino, kad iš bilietų pardavėjo pusės su juo kol kas niekas nesusisiekė, bet netrukus tai ketina padaryti pats.

„Dabar rašau laišką kad pakomentuotų asmeniškai šią situaciją ir pergeneruotų bent bilietus su naujais identifikaciniais kodais“, - teigė jis.

Telefonai.eu dėl komentaro šiuo klausimu susisiekė su „Bilietai.lt“ atstovais, tačiau trečiadienį atsakymo negavo. Pirmoji užklausa buvo išsiųsta dar prieš 15:49 val. Lietuvos laiku, tačiau vienintelė informaciją kurią pavyko gauti yra ta, kad su mumis bus susisiekta artimiausiu metu.

0 komentarų

Rašyti komentarą

Prašome gerbti kitus komentatorius. Gerų diskusijų! Apsauga nuo robotų rūpinasi reCAPTCHA ir yra taikoma „Google“ privatumo politika ir naudojimosi sąlygos.

Populiarios naujienos

Taip pat skaitykite

Hey.lt - Nemokamas lankytojų skaitliukas