Užfiksuota, kad sausio 7 d. buvo nutekinta vienos seniausių Lietuvos IT įmonių „Aiva sistema“ duomenų bazė. Viešai prieinamuose programišių forumuose aptikta apie 260 tūkst. vienetų vartotojų duomenų – vardai ir pavardės, telefono numeriai, elektroninio pašto adresai.
Nutekintus duomenis sausio 11 d. viešai prieinamuose programišių forumuose aptiko „Baltimax“ IT inžinierius ir ESET ekspertas Lukas Apynis. „Aiva sistema“ apie užfiksuotą kibernetinę ataką esą nedelsiant informuota.
Kaip skelbiama L. Apynio pranešime, į internetinių sukčių rankas pateko apie 260 tūkst. vienetų kontaktinės informacijos verslo įstaigų, kurios perka paslaugas iš minėtos organizacijos.
„Jei esate naudojęsi šios įmonės paslaugomis, gali būti, kad ir jūsų duomenys buvo nutekinti, todėl rekomenduoju atkreipti dėmesį į elektroniniu paštu ar telefonu gaunamą informaciją, nes artimiausiu metu gali būti padidėjusi rizika pakliūti į piktavalių rankas, – įspėja kibernetinio saugumo ekspertas L. Apynis.
– Programišiai taikosi į mažiau prižiūrimas infrastruktūras, mažiau apsaugotas ir lengviau pažeidžiamas. Ši įmonė dirba labai ilgą laiką, todėl galimai sukčių buvo padarytos išvados, jog turi plačią duomenų bazę. Programišiai galėjo įsilaužti naudojantis palikta saugumo spraga, neatnaujinta programine sistema.“
Pask L. Apynio, šioje duomenų bazėje matomi ir Lietuvos policijos elektroniniai paštai. „Aiva“ dirbo su daugybe organizacijų – kaip suprantame iš jų įmonių, tai buvo duomenų valdymo sistema. Yra daugybė įmonių kontaktų – vardas, pavardė, elektroninis paštas, telefonai“, – naujienų portalui „15min“ nurodė L. Apynis.
Saugumo ekspertas pridūrė, kad šie duomenys nėra pardavinėjami, o pateikiami viešai – juos atsiųsti gali bet kas.
„15min“ susisiekus su „Aiva sistema“, atsiliepusi įmonės darbuotoja teigė apie situaciją pati nežinanti, tačiau žadėjo, kad įmonės atstovai su redakcija susisieks ir situaciją pakomentuos.
Įmonės Šiaulių padalinio vadovas Regimantas Vėgėlė naujienų agentūrai BNS nurodė, kad „Aiva sistema“ veiklos nevykdo jau penkerius metus ir yra likviduojama. „Negali būti, „Aiva sistema“ jau penkeri metai, kaip kaip nevykdo jokios veiklos, Registrų centras ją likviduoja“, – sakė R. Vėgėlė.
Registrų centro duomenimis, „Aiva sistemos“ likvidavimas 2022 m. lapkritį inicijuotas dėl neteikiamų finansinių ataskaitų – paskutinį kartą šie dokumentai pateikti už 2016 metus.
Bendrovė informaciją neigia
Programinę įrangą verslui gaminanti informacinių technologijų (IT) įmonė „Aiva sistema“ neigia informaciją, kad iš jos duomenų bazės buvo nutekinti 260 tūkst. vartotojų duomenys. Bendrovės vadovo teigimu, ji tiek duomenų neturi, o turimi yra gerai apsaugoti.
„Aiva sistemos“ vadovas Robertas Šertvytis BNS sakė, kad bendrovės duomenų bazė yra saugi.
„Mes pirmi Lietuvoje pradėjome teikti komercines interneto paslaugas ir per tą laiką niekada gyvenime pas mus niekada nieko nenutekėjo, niekas neįsilaužė, gerais saugoma yra informacija. (…) Serveris labai gerai apsaugotas, yra apsaugos, darbuotojas specialus, geras specialistas prižiūri serverius, tai ramiai visą laiką miegame. Tikrai ne mūsų duomenys (nutekėjo – BNS)“, – teigė jis.
Bendrovės vadovas sako, kad ji disponuoja kur kas mažesniu duomenų skaičiumi, todėl 260 tūkst. vartotojų iš jos bazės nutekėti negalėjo.
„Pas mus nėra tiek duomenų, kad būtų panašiai nors kažkiek, bet 40 kartų mažiau duomenų (…) Kad 260 tūkstančių – tikrai pas mus tiek nėra, tai ir negalėjo iš mūsų tiek nutekėti“, – teigė R. Šertvytis.
Jo teigimu, informacija apie nutekėjusius duomenis galėjo būti paskleista sąmoningai norint įmonei pakenkti: „Kas tą bazę paleido ir kokia tai bazė ir kodėl, norėdami gal, manau, kad pakenkti mums, parašę, kad čia „Aiva sistema“ bazė“.
Ketvirtadienį kibernetinio saugumo sprendimų bendrovė „Baltimax“ išplatino pranešimą, jog sausio 7 dieną iš „Aiva sistema“ duomenų bazės nutekėjo ir viešai paskelbti maždaug 260 tūkst. vartotojų duomenys – vartotojų vardai ir pavardės, telefono numeriai, elektroninio pašto adresai iš verslo įstaigų, o „Aiva sistema“ nedelsiant informuota apie šią kibernetinę ataką.
R. Šertvytis sako, kad įmonė ketvirtadienį gavo pranešimą apie nutekėjusius duomenis ir iš karto ėmėsi atsargumo priemonių, tačiau vėliau pastebėta, kad skelbiama informacija ne apie „Aiva sistemą“.
„Iš pradžių pamaniau, kad gal tikrai iš mūsų, tada paprašiau administratoriaus, kad pakeistų slaptažodžius (…) Paskui pradėjau žiūrėti, kas ten parašyta, pasižiūrėjau, kad tai visiškai ne apie mus kalba eina“, – BNS sakė R. Šertvytis.
„Baltimax“ pranešime apie nutekintą informaciją šios bendrovės inžinierius Lukas Apynis sako, jog į „Aiva sistemos“ duomenų bazę galėjo įsilaužti ir informaciją gauti naudojantis palikta saugumo spraga, neatnaujinta programine sistema.
Netrukus po pranešimo išplatinimo BNS su R. Šertvyčiu susisiekti nepavyko, o Šiauliuose esančios įmonės „Aiva sistema“ vadovas Regimantas Vėgėlė nurodė, kad interneto sprendimų bendrovė veiklos nevykdo jau penkerius metus ir yra likviduojama.
Vėliau R. Šertvytis BNS patikslino, kad Šiaulių įmonė su jo vadovaujamomis „Aiva sistemomis“ nesusijusi, sutampa tik bendrovių pavadinimas: „Nieko su mumis bendro neturi, tik pavadinimas bendras“.
