Viešai prieiname forume asmuo pateikė įvairius įrodymus, kuriuose galima matyti ne tik jau pirktus ir panaudotus dovanų čekius ar bilietus į įvairiausius renginius, bet taip pat pateikta ir šimtai nuorodų su pirkėjų užsakymų patvirtinimais (sąskaitomis), kur matomas užsakovo el. pašto adresas, asmens kodas ar telefono numeris. Negana to, asmuo pateikė ir nuotrauką, kurioje galima matyti vieno asmens visus pirktus bilietus – renginio pavadinimas, pirkimo data, užsakymo numeris ir kita informacija.
„Vakar vėlai vakare ir šiandien rytą viešai pasklido informacija apie galimą neteisėtą prieigą prie Bilietai.lt klientų duomenų. Norėtume užtikrinti visus savo klientus - šią situaciją vertiname itin rimtai. Sužinoję apie galimą incidentą iš karto pradėjome vidinį tyrimą. Remiantis preliminariomis tyrimo išvadomis, identifikavome paveiktą sistemos vietą. Nedelsiant nutraukėme ir uždarėme bet kokią galimą neteisėtą prieigą prie klientų duomenų“ , - portalui Telefonai.eu atsiųstame komentare teigia Bilietai.lt vadovas Ramūnas Šaučikovas.
R.Šaučikovas patikino, jog apie galimą incidentą pranešą policijai ir kitoms atsakingoms institucijoms. Informuotos ir kompetentingos asmenų duomenų apsaugos institucijos. Tiesa, komentare minima Estijos, o ne Lietuvos vartotojų duomenų apsaugos institucija. Kiek anksčiau, portalui Lrytas.lt susisiekus su Valstybinė duomenų apsaugos inspekcija (VDAI) buvo teigiama, kad yra pradedami atitinkami veiksmai, tačiau ar Bilietai.lt susisiekė su jais informacijos nepateikė.
„Pranešėme policijai ir kitoms atsakingoms institucijoms apie galimą nusikalstama veiką - be neteisėtų kaltininko veiksmų nebūtų įvykęs duomenų saugumo pažeidimas. Apie galimą asmens duomenų saugumo pažeidimą informavome kompetentingą nacionalinę priežiūros instituciją - Estijos duomenų apsaugos instituciją, kuri turėtų būti vadovaujanti šioje situacijoje. Taip pat tinkamai informuosime ir Lietuvos duomenų apsaugos inspekciją.
Su kiekvienu klientu, prie kurio asmens duomenų galimai įgijo prieigą piktavaliai, susisieksime. Norime užtikrinti, kad klientų įsigyti Bilietai.lt pirkiniai yra galiojantys ir saugūs. Remiantis mūsų atliekama incidento analize, galimai buvo paveikti tik šie duomenys: klientų vardai, pavardės (jei pateiktos), el. pašto adresai, retais atvejais - telefono numeris. Pabrėžiame, kad klientų finansiniai duomenys nebuvo paveikti“, - aiškina Bilietai.lt direktorius.
Bilietai.lt vadovas patvirtino, jog incidento priežastis ir galimą jų poveikį tiria, o tam yra pasitelkta ir išorės ekspertai.
„Incidentą, jo priežastis ir poveikio mastą tiriame toliau. Tam pasitelksime išorės ekspertus, kurie nustatys priežastis ir pateiks rekomendacijas, kaip pašalinti padarinius ir užkirsti kelią spragoms ateityje. Padarysime viską, ką galime, kad ši problema būtų išspręsta. Atsiprašome visų už galimus nepatogumus, kuriuos sukėlė šis incidentas. Kaip ir minėjome, laikysimės visų teisės aktų reikalavimų, informuosime kiekvieną duomenų subjektą atskirai bei toliau skaidriai teiksime informaciją visiems, įskaitant žiniasklaidą“
Portalas Lrytas.lt susisiekė su „ESET Lietuva“ kibernetinio saugumo inžinieriumi Ramūnu Liubertu ir paklausė, kas, jo nuomone, čia iš tiesų nutiko. Pastarojo teigimu, iš Bilietai.lt elgesio matyti, kad jie arba iki šiol nedarydavo pažeidžiamumo testų, arba nekreipė į juos dėmesio, arba informaciją apie saugumo spragą norėjęs parduoti asmuo kreipėsi ne į pačią įmonę, arba galbūt komunikavo ne su tinkamais asmenimis.
Portalui Telefonai.eu kibernetinio saugumo ekspertas Mantas Sasnauskas tikino, kad tai yra rimtas incidentas, kurį įmonė turėtų nedelsdama ištirti ir imtis atitinkamų veiksmų, o vartotojams rekomenduoja pasikeisti slaptažodžius bei stebėti savo kredito veiklą tam skirtuose servisuose.
„Šis įvykis yra rimtas incidentas, kurį turėtų įmonė ištirti ir nedelsdama imtis atitinkamų veiksmų. Pirma turėtų būti išsiaiškinta, kas ir kodėl turėjo prieigą ir prie kurių sistemų. Taip pat turėtų būti informuota, ne tik Estijos duomenų apsaugos inspekcija, bet ir tų šalių, kurių vartotojų duomenys saugomi, šiuo atveju ir Lietuvos. Tokie incidentai potencialiai gali kelti rimtų saugumo problemų patiems vartotojams. Vartotojams rekomenduoju pasikeisti slaptažodžius, nenaudoti tų pačių slaptažodžių ir stebėti savo kredito veiklą tam skirtuose servisuose“, - teigė M.Sasnauskas.
Netrukus pateiksime daugiau informacijos.
Priminsime, jog vakar, trečiadienį, viešai prieiname forume asmuo pateikė įvairius įrodymus, kuriuose galima matyti ne tik jau pirktus ir panaudotus dovanų čekius ar bilietus į įvairiausius renginius, bet taip pat pateikta ir šimtai nuorodų su pirkėjų užsakymų patvirtinimais (sąskaitomis), kur matomas užsakovo el. pašto adresas, asmens kodas ar telefono numeris. Negana to, asmuo pateikė ir nuotrauką, kurioje galima matyti vieno asmens visus pirktus bilietus – renginio pavadinimas, pirkimo data, užsakymo numeris ir kita informacija.
Jautrią Bilietai.lt Informaciją pateikiantis asmuo pažymi, kad turint tokią informaciją, priklausomai nuo įgūdžių bei renginių, galima uždirbti nuo 1 tūkst. iki 5 tūkst. eurų per mėnesį, o toks uždarbis galimas parduodant bilietus ar kuponus už žemesnę kainą kitiems asmenims. Įdomu ir tai, jog analogišką saugumo spragą galimai turi ir kitose šalyse veikiančios „Bilietai.lt“ svetainės. Estijoje – „Piletilevli.ee“, Latvijoje – „Bilesuserviss.lv“ ar Baltarusijoje – „Kvitki.by“.
Verta pastebėti, jog viešai tam tikrą informaciją pateikęs anonimas pažymėjo, jog su Bilietai.lt buvo bandyta susisiekti prieš metus ar du, tačiau jokio atsakymo gauta nebuvo, spraga ištaisyta taip pat nebuvo. Bilietai.lt tokios informacijos kol kas nepakomentavo.
Portalas Lrytas.lt susisiekė su asmeniu, kuris skelbiasi turįs nutekintą informaciją, bet šis pakomentuoti plačiau atsisakė – tik nurodė, kad „už tam tikrą atlygį galėtų pasidalinti viskuo, ką pavyko nuveikti“.
Vėliau jis portalui patikslino, kad neturi tikslo pardavinėti vartotojų informacijos. „Mano pateikto pranešimo, kurį [jau] ištrynė, tikslas buvo surasti žmogų, kuriam galėčiau perduoti visus įrankius ir žinias norint ir toliau naudotis saugumo spraga“, – portalui Lrytas.lt nurodė duomenų pavyzdžius pateikęs asmuo.
Paklaustas, kiek žmonių jo vertinimu galėtų nukentėti dėl šios saugumo spragos, pašnekovas nurodė, kad tai sunku įvertinti, kadangi tai yra bendrinė sistema jungianti keturių šalių platformas. „Visas prieš tai įvardintas bilietų platinimo platformas jungia bendra sistema, o jas valdo AS Piletilevi Group“, – portalui Lrytas.lt teigė anonimas.
Duomenų pavyzdžius nutekinęs asmuo patikslino ir vakar, trečiadienį, skelbtos nuotraukos turinį. Anonimo teigimu, tai yra atsitiktinis Bilietai.lt platformoje pirkusio asmens profilis bei nuramino, kad pastarojo pirkti bilietai yra saugūs.
„Jeigu netyčia bendraujate su tuo žmogumi, tai galite jam pranešti, kad jo bilietai yra saugūs, nors jo profilis ir buvo paviešintas su bilietų kodais. Be specialaus rakto niekas negalės jų peržiūrėti. Ačiū!“ , – portalui Lrytas.lt pranešė duomenų pavyzdžius nutekinęs anonimas.