Dar prieš savaitę internete pasirodė informacijos, kad žmonės, kurie naudojasi „m.Ticket“; „m.Parking“ programėlėmis, savo duomenis be sutikimo perduoda trečiosioms šalims. Trečiadienį „Tele2“ pirmoji pranešė, kad stabdo šias paslaugas, nes klientų duomenys nebuvo apsaugoti.
Mobili programėlė „m.Ticket“ / Pranešimo spaudai autorių nuotr.
Jūsų duomenys ir telefono numeris galėjo pasiekti kenkėjiškus puslapius ir programas, kurios iš esmės galėjo jais pasinaudoti jums nežinant.
Kaip tai veikia?
Jei mobiliojo ryšio operatorių partneriai nežino apie saugumo problemas, jūsų telefono numeris patenka į kenksmingas svetaines. Tai atveria galimybes jus sekti. Ar kada matėte programėlę mobiliesiems, kurioje prašoma išjungti „WiFi“ ir įsijungti mobilųjį internetą, norint ja naudotis?
„Lietuvoje yra bent kelios tokios programėlės, siūlančios paslaugą be papildomo prisijungimo, jei esate prisijungę prie mobiliojo interneto“, – įspėjo Jaroslav Lobačevski viename internetinio saugumo tinklaraštyje.
Pasirodo, mobiliojo ryšio operatorius įveda jūsų tapatybę į siunčiamą HTTP užklausą. Kai trečiosios šalies žiniatinklio serveris gauna jūsų prašymą, jame jau yra tai, ko reikia mobiliojo telefono vartotojui identifikuoti. Iš esmės pagal šią informaciją trečiosios šalys gali jus sekti ir pasiekti įvairius duomenis.
Pagal HTTP HE (angl. Header) trečioji šalis gali pasinaudoti jūsų numeriu ir užsakyti šias paslaugas jums to net nežinant. Dar daugiau, atsekti šią veiklą gali būti neįmanoma.
Paslaugą išjungė „grubiuoju būdu“
Trečiadienio ryte pranešta, kad „Tele2“ tinkle laikinai neveikia mokamos paslaugos – negalima atsiskaityti už automobilių stovėjimą, naudotis viešojo transporto bilietais, taip pat įsigyti papildomų mobiliojo ryšio duomenų paketų.
„Tele2“ komunikacijos vadovas Andrius Baranauskas LRT.lt teigė, kad apie tokias saugumo spragas operatorius anksčiau nežinojo. Kilus rimtų įtarimų, bendrovė ėmėsi veiksmų ir „grubiuoju būdu“ išjungė paslaugų veikimą.
„Apie šias spragas anksčiau nežinojome. Vartotojų duomenų saugumas mums yra svarbiausias, todėl išjungėme kai kurias paslaugas. Dar kąrtą atsiprašome visų vartotojų, kurie patiria nepatogumų, tačiau saugumas mums yra svarbiausias“, – sakė jis.
Anot A. Baranausko, duomenys šiuo metu yra apsaugoti, tačiau paslaugos lieka neprieinamos.
Visgi LRT.lt šaltinių teigimu, bendrovė turėjo jau kuris laikas žinoti apie galimą saugumo spragą. Dar daugiau, „Tele 2“ naudoja sistemą, kuri reaguoja į užklausas gautas iš bet kokio URL adreso, ne tik to, kuris siejamas su paslaugos teikėju, pavyzdžiui, su „Susisiekimo paslaugos“.
Taip kyla reali grėsmė, kad duomenimis galės pasinaudoti bet koks kenkėjiškas puslapis.
Sprendimą turi priimti „Susisiekimo paslaugos“
Saulius Skirmantas, „Bitė Lietuva“ kibernetinio ir IT saugumo vadovas, teigė, kad „Bitė“ „Susisiekimo paslaugų“ mob. aplikacijoms tiesiogiai neperduoda savo klientų asmens duomenų, taip pat ir telefono numerių. „Perduodame tik unikalų vartotojo ID, kuris neleidžia identifikuoti žmogaus“, – aiškino jis.
Pasak jo, pirmadienį, operatorius gavo informacijos, jog naudojant „Susisiekimo paslaugų“ saugumo spragą yra galimybė susieti šį unikalų ID su anoniminio vartotojo telefono numeriu.
„Apie tai informavome „Susisiekimo paslaugas“, kurios ir kuria bei vysto programėles. Savo ruožtu, mūsų kibernetinio saugumo ir IT specialistai ėmėsi diegti dar ir papildomus filtrus. Šį pokytį ketiname įgyvendinti nelaukdami programėlių atnaujinimų artimiausiu metu, greičiausiai, šiandien arba rytoj“, – teigė jis.
Eksperto teigimu, jei vartotojai neatidarinės nuorodų, gautų iš neaiškių šaltinių, jų duomenys išliks saugūs. Šiuo principu reikėtų vadovautis ir kitais atvejais. Sprendimą, ar laikinai apriboti naudojimąsi savo programėlėmis turėtų priimti „Susisiekimo paslaugos“.
Turi veiksmų planą
„Susisiekimo paslaugos“ komunikacijos vadovė Miglė Bielinytė teigė, kad šią situaciją žino ir kuo operatyviau sprendžia, glaudžiai bendradarbiaudami su visais mobiliojo ryšio operatoriais.
„Kai tik gavome informaciją apie HTTP HE technologijos saugumo spragą, nedelsiant įvertinome pagrindines rizikas, apie situaciją informavome m.Transportas informacinės sistemos, kuriai priklauso ir „m.Ticket“ bei „m.Parking“ programėlės, priežiūros tiekėją. Iš savo pusės sudėliojome pirminį veiksmų planą ir iš karto pradėjome pasiruošimo darbus techniniams pakeitimams“, – teigė ji.
Pasak jos, esminiai pirminiai pakeitimai ir pirmieji programėlių „m.Ticket“ ir „m.Parking“ rezultatai testavimui iš mūsų pusės bus paruošti jau šiandien. „Taip pat ir pagal operatorių paruoštus planus pritaikysime savo sistemas atsižvelgdami į numatytus pakeitimus“, – pridūrė ji.
Galimybės pakenkti ribotos
„Telia“ akcentuoja, kad tai nėra operatorių infrastruktūros saugumo spraga, tai paslaugas teikiančių programėlių atsakomybė.
„Transporto ir automobilių stovėjimo programėlių valdytojams visapusiškai padedame pašalinti rizikas, susijusias su telefono numerio parodymu per mobiliojo telefono interneto naršyklę. Šių paslaugų savininkai jau dabar peržiūri visą sprendimo saugumo architektūrą. Esame pasirengę jiems padėti sudiegti visas reikalingas ugniasienes ir kitas asmens duomenų apsaugos priemones", – rašome komentare.
Bendrovė praneša, kad „Telia“ tinkle turėjo sudiegusi papildomus saugiklius ir kol kas stabdyti tokių programėlių kaip „m.Parking“ ar „m.Ticket“ veikimo neplanuojaa, nes šių paslaugų saugumas nėra susijęs su duomenų nutekėjimo rizika.
Bendrovės teigimu, Įvardinta saugumo spraga yra ne kas kita, kaip atgyvenęs slapukų (angl. cookies) rinkimo būdas, taip siekiant supaprastinti vartotojo patirtį jungiantis prie įvairių internetinių paslaugų. Prieš keletą metų toks informacijos rinkimo būdas buvo apribotas taikant Europos Sąjungos Bendrąjį duomenų apsaugos reglamentą (BDAR) ir telefonų numeriai galėjo būti atiduodami tik „baltajame sąraše“ esantiems partneriams.
„Informacijos apie tai, kad automobilių stovėjimo ar viešojo transporto programėlės jų veikimui reikalingą numerį atvaizduoja ir galutiniam vartotojui, neturėjome ir mūsų partnerių sistemose ši spraga atsirado be mūsų žinios. Tačiau transporto ir automobilių stovėjimo programėlių valdytojams šiuo metu visapusiškai padedame pašalinti rizikas, susijusias su telefono numerio rodymu per mobiliojo telefono interneto naršyklę“, – komentavo bendrovė.
Pasak jos attsovų, rizikos faktorių dėl šios spragos kyla tik tiems vartotojams, kurie linkę į rizikingą elgesį internete – jungiasi prie nepatikimų svetainių, pavyzdžiui, piratinio turinio ir programinės įrangos platintojų, pornografijos ar panašiai. Tokiose svetainėse vartotojai visada rizikuoja savo asmens duomenų saugumu, nes jose ir taip dažnai platinami įvairūs virusiniai kodai.
Geroji saugumo praktika sako, kad vykdant rizikingus veiksmus internete reikėtų pasirūpinti ir papildomomis saugumo priemonėmis – pavyzdžiui, VPN paslaugų naudojimu, neleidžiančių identifikuoti vartotojo.
„Aptikta saugumo spraga leidžia nesąžiningų interneto svetainių savininkams gauti telefono numerį, tačiau galimybės pasinaudoti juo piktiems kėslams yra tikrai ribotos. Daugeliu atveju tam reikalinga bankinė identifikacija, kuri naudoja labai pažangias saugumo technologijas", – komentuoja „Telia“.