Viename tinklaraščių pasirodžiusi informacija sukėlė nerimą dėl galimo tam tikrų mobiliųjų operatorių klientų duomenų nutekėjimo tretiesiems asmenims. Informacinių technologijų ekspertas Marius Pareščius tikino, kad galimai tokia spraga egzistavo jau 5-8 metus ir tai liečia visus mobiliojo ryšio operatorius Lietuvoje.
Gali matyti duomenis
IT ekspertas aiškino, kad spraga susijusi su telefono numerio duomenų nutekėjimu. Mat, pavyzdžiui, iš mobiliojo davus užklausą į programėlę, tarkime, statant automobilį, informaciją apie tai gali matyti ir kiti žmonės.
„Bet kas iš išorės pasijungęs neturėtų turėti galimybės tokių duomenų gauti. Jie turėtų būti prieinami tik tam vartotojui, kuris davė užklausą, o šiuo atveju, tai yra tavo mobilusis“, – komentavo jis ir pateikė pavyzdį.
„Tu atvažiavai parkuotis, prisijungei prie mobilios aplikacijos mparkingas, ir tau ta aplikacija turėtų duoti užklausą į serverį ir gauti atgal atsakymą, kad šiuo metu tavo automobilis nėra priparkuotas. Tada paspaudi parkuoti, tada tau prisijungė, pasakė, kad nuo dabar pradėjom parkuoti automobilį ir gavai atsakymą, kad nuo dabar parkingas įjungtas.
Po valandos laiko, norėdamas išvažiuoti, tu paspaudi, kad nutraukti parkingą. Šioje visoje technologinėje grandinėje buvo palikta klaida, kad bet kas, ne tik tu, galėtų pažiūrėti į telefono numerį ir turėtų informaciją, kas parkavo mašiną.
Tą informaciją gali pažiūrėti bet kas, kas žino algoritmą“, – sakė jis.
Anot M. Pareščiaus, pašaliniai žmonės gauna tavo telefono numerį, o vėliau gali gauti ir papildomus duomenis, tarkime, kur buvo statytas automobilis, kiek tai kainavo, kiek laiko stovėjo ir panašiai.
„Tai liečia visus operatorius, tačiau tai klaidos ne pas juos, o klaidos pačioje platformoje, kuri priima mokėjimus“, – pabrėžė jis.
IT eksperto teigimu, tokia spraga galėjo egzistuoti apie 5-8 metus.
„Manau, kad visi operatoriai turėtų sureaguoti ir pasitikrinti, ar pas juos nėra skylių. Manau, kad visi tai ir padarė iš karto, tik klausimas, kiek jie paviešino. Dažniausiai operatoriai apie tokius dalykus yra linkę nutylėti“, – svarstė ekspertas.
Apribojo paslaugų teikimą
„Delfi“ susisiekė su mobiliojo ryšio operatoriais.
„Tele2“ įmonės atstovas Andrius Baranauskas tikino, kad šiuo metu pavojaus dėl klientų duomenų saugumo nebėra. Trečiadienio rytą įmonė laikinai apribojo mokamų paslaugų teikimą. Šiuo metu per šį operatorių negalima atsiskaityti už automobilių stovėjimą, naudotis viešojo transporto bilietais, taip pat įsigyti papildomų mobiliojo ryšio duomenų paketų.
„Visi operatoriai turi panašią situaciją. Tai nėra tik mūsų problema. Kadangi buvo pavojus duomenims, o mes vakar darėm eilę veiksmų, bet suvokėm, kad jis vis dar yra, tai mes tą pavojų eliminavome nutraukdami tokių paslaugų teikimą. Šiuo metu pavojaus nėra, nes paslaugos šiuo metu nėra teikiamos.
Dabar mes ieškome sprendimo, kad atkurtume paslaugas, kad būtų galima jomis naudotis. Žmonės dabar turi nepatogumą, bet mums reikėjo rinktis, ar klientas turės nepatogumą, ar turėsime riziką“, – sakė A. Baranauskas ir teigė, kad šiuo metu yra dirbama, kad visos rizikos būtų kuo greičiau pašalintos.
Patarė neatidarinėti neaiškių nuorodų
„Bitė Lietuva“ kibernetinio ir IT saugumo vadovas Saulius Skirmantas atkreipė dėmesį, kad „Bitė“ „Susisiekimo paslaugų“ mobiliosioms aplikacijoms tiesiogiai neperduoda savo klientų asmens duomenų, taip pat ir telefono numerių.
„Perduodame tik unikalų vartotojo ID, kuris neleidžia identifikuoti žmogaus. Kovo 2 dieną, pirmadienį, gavome informacijos, jog naudojant „Susisiekimo paslaugų“ saugumo spragą yra galimybė susieti šį unikalų ID su anoniminio vartotojo telefono numeriu. Apie tai informavome „Susisiekimo paslaugas“, kurios ir kuria bei vysto programėles“, – pažymėjo jis.
Savo ruožtu „Bitės“ atstovas tikino, kad mobilaus operatoriaus kibernetinio saugumo ir IT specialistai ėmėsi diegti dar ir papildomus filtrus.
„Šį pokytį ketiname įgyvendinti, nelaukdami programėlių atnaujinimų artimiausiu metu, greičiausiai, šiandien arba rytoj“, – sakė S. Skirmantas.
Jis taip pat pabrėžė, kad jei vartotojai neatidarinės nuorodų, gautų iš neaiškių šaltinių, jų duomenys išliks saugūs. Šiuo principu reikėtų vadovautis ir kitais atvejais.
Anot S. Skirmanto, sprendimą, ar laikinai apriboti naudojimąsi programėlėmis, turėtų priimti „Susisiekimo paslaugos“.
Turi papildomus saugiklius
„Telia“ atstovas spaudai Audrius Stasiulaitis komentavo, kad transporto ir automobilių stovėjimo programėlių valdytojams mobilusis operatorius visapusiškai padeda pašalinti rizikas, susijusias su telefono numerio parodymu per mobiliojo telefono interneto naršyklę.
„Šių paslaugų savininkai jau dabar peržiūri visą sprendimo saugumo architektūrą. Esame pasirengę jiems padėti sudiegti visas reikalingas ugniasienes ir kitas asmens duomenų apsaugos priemones“, – sakė A. Stasiulaitis.
„Telia“ atstovas tikino ir tai, kad mobiliojo operatoriaus tinkle yra įdiegta papildomų saugiklių, tad kol kas stabdyti tokių programėlių kaip „m. Parking“ ar „m. Ticket“ veikimo „Telia“ neplanuoja, mat šių paslaugų saugumas esą nesusijęs su duomenų nutekėjimo rizika.
„Aptikta saugumo spraga leidžia nesąžiningų interneto svetainių savininkams gauti telefono numerį, tačiau galimybės pasinaudoti juo piktiems kėslams yra tikrai ribotos.
Daugeliu atveju tam reikalinga bankinė identifikacija, kuri naudoja labai pažangias saugumo technologijas“, – aiškino A. Stasiulaitis.
Daugiau naujienų skaitykite čia.
