Pastabos paraštėse

t.y. tinklaraštis

Ką svarbu pastebėti nutekėjus CityBee ir Orakulas.lt duomenims

Kaip ir daugelio kitų vairuotojų didmiesčiuose, mano asmeniniai duomenys buvo nukopijuoti iš neapsaugoto CityBee serverio. Šiuo metu jie parduodami kiekvienam norinčiam.

Įvykis įdomus, ryškus ir šiek tiek netikėtas. Kyla daug klausimų: kiek tai pavojinga, kas kaltas ir ką dabar daryti?

Siūlau atidėti šiuos einamuosius klausimus į šoną ir pasižiūrėti platesniu žvilgsniu. Gal tai padės išvengti ar bent palengvinti panašias bėdas ateityje.

Pradėkime nuo neginčijamo fakto: kai kurie mūsų asmeniniai duomenys yra parduodami: vardas, pavardė, asmens kodas, el. paštas, CityBee.lt slaptažodis, vairuotojo pažymėjimo numeris ir galiojimo data.

Pirma išvada: mūsų duomenys turi piniginę vertę.

Antra išvada: kažkas yra pasirengęs mokėti pinigus už tuos duomenis.

Dėl vertės galima daug ginčytis, net žinant kainą už kurią jie parduodami. Turbūt vertė ženkliai skiriasi tiek kiekvienam nukentėjusiajam, tiek kiekvienam perkančiajam.

Pradėkime nuo aiškesnio dalyko: kas ir dėl kokių tikslų yra pasirengęs mokėti pinigus už šiuos duomenis?

Iš to ką toliau pastebime, viena iš grupių, kuri šiuos duomenis nori įsigyti ir turbūt jau įsigijo yra nusikaltėliai. Kitaip sakant, žmonės, kurie bando užsidirbti pinigų, palikdami mums bėdas ir nuostolius.

Kokias bėdas ir nuostolius? Įvairius ir netikėtus: kolkas girdėjome apie “Spotify” paskyrų užgrobimus ir bandymus pasinaudoti atsiskaitymo kortele susieta su “PlayStation” paskyra.

Aš pats daug domiuosi ir [neprofesionaliai] eksperimentuoju su asmens duomenų apsauga bei privatumo užtikrinimo priemonėmis. Nebūčiau galėjęs atspėti, kad pirmiausiai išgirsime apie šių sistemų paskyras. Nepastebiu, kad žiniasklaidos kalbinti įvairūs ekspertai irgi kažką būtų tiksliau išpranašavę. Geriausiu atveju skaitome tokias frazes: “kaip galėtų būti panaudoti pavogti duomenys – tik išradingumo klausimas”.

Daugiausiai ką galime pasakyti, yra tai, kad susijusios paskyros tikriausiai buvo užvaldytos panaudojant sutampančius slaptažodžius. Tai patvirtina ir primena seniai skelbiamą rekomendaciją, kad skirtingoms paskyroms reikia naudoti skirtingus, nesusijusius slaptažodžius. Taip pat yra šiek tiek nerimo ir dėl vairuotojų pažymėjimų numerių.

Situacija panaši kaip seniau būdavo su geresne automagnetola automobilyje: arba rasi išdaužtą automobilio stiklą, arba ne.

Photo by Will Keightley https://flickr.com/photos/feverblue/6478317101/

Dabar žvilgtelkime į su OlyBet ir Orakulas.lt vartotojais siejamus duomenis. Kiek radau įsilaužėlių forume paskelbtoje informacijoje (kol ji buvo prieinama), ten gal būt yra duomenys apie vartotojų piniginius laimėjimus, darbuotojų atlyginimus ir priklausomybę lošimams turinčius asmenis.

Su tokiais duomenimis, išradingumo reikia jau mažiau. Reikia priėjimo prie asmenų.

Čia ypač reikia atkreipti dėmesį, nes kartais išgirstame: “kam tas privatumas, aš neturiu ko slėpti”. Tarp mūsų yra asmenų, kurie turi ligas, polinkius ir priklausomybes ar panašias kitas bėdas, kurios gėdingos, kartais pavojingos, visuomenė dėl jų diskriminuoja, o patiems jiems sunku ką pakeisti. Tokiems asmenims, jų duomenų privatumas yra ypač svarbus.

Tai apibendrinus: nukentėjusieji tokiose istorijose gauna nerimo bei įvairių ir netikėtų bėdų bei nuostolių. Kiekvienam asmeniškai sunkesnių ar lengvesnių.

Dabar labai trumpai žvilgtelkime į kitus veikiančiuosius asmenis.

Apie duomenų vagis ir jų klientus mažai ką galime pasakyti, nebent tai, kad duomenų vagys išradingumo nestokoja, o jų klientai tikisi užsidirbti iš mūsų (nukentėjusiųjų), sukeldami mums bėdas ar nuostolius. Taip pat, matome, kad jie gan atvirai keičiasi informacija viešuose forumuose.

Apie įmones, kurios neapsaugo vartotojų duomenų, pastebiu, kad jos pakankamai dažnai dainuoja niekų daineles: “Niekas nieko niekam…” ir pan.. Nenutėkėjo, o jei nutekėjo tai seni. Viską padarėm, labai rūpinamės, rizikos nedidelės, kalti kiti, bet ne mes.

OlyBet pareiškimas išvis yra taip vadinamasis “Argumentas iš nežinojimo”:

„Mes, kaip įmonė, nuo įsigijimo neturėjome duomenų nutekinimo ar jų vagystės, todėl teigiame, kad mūsų klientų duomenys yra saugūs“, – sakė „Olympic Casino Group Baltija“ generalinis direktorius Tomas Palevičius.

Sąžiningai, OlyBet galėtų nebent teigti, jog neturi informacijos apie tai, kad į jų sistemas buvo įsilaužta. Galėtų pradėti kokį vidinį tyrimą. Tai labiau įtikintų.

Teigiu, kad gan ilgai (o gal ir visada) iš įmonių kaupiančių mūsų asmens duomenis, tokiose situacijose girdėsime niekų daineles. Neverta jomis per daug vadovautis, bet verta susimąstyti prieš pateikiant bet ką apie save bet kuriai įmonei, nes paskiau gali tekti nerimauti, o gal ir gailėtis.

Apie valstybės institucijas kolkas sunku ką prognozuoti. Galima būtų viltis iš “Grožio chirurgijos” atvejo, kad įtariamuosius suras, o nukentėjusieji sulauks kompensacijų, bet ar panašiai bus ir šiuo atveju — kolkas nežinia.

 
Daugiau įrašų – archyve