Turite Vilniečio kortelę? O aš turiu jūsų duomenis

Sostinės viešuoju transportu naudojasi šimtai tūkstančių žmonių, o dalies jų asmeniniai duomenys internete buvo ranka pasiekiami. Spraga „Susisiekimo paslaugų“ svetainėje žiojėjo bent kelis mėnesius.

Kai kurių Vilniečio kortelės naudotojų duomenis buvo galima gauti pasinaudojus klaida, kurią tinklalapio programuotojai paliko „Užsakymų istorijos“ skiltyje. Prisijungus prie sistemos su savo duomenimis ir užsukus patikrinti savo atliktų pervedimų į kortelę, tereikėjo nukopijuoti pateikiamo dokumento nuorodą.

Joje yra šeši skaičiai, kuriuos keičiant buvo galima atsisiųsti kitų sistemos naudotojų sąskaitas. Jose – žmonių vardai ir pavardės, gyvenamosios vietos ir el. pašto adresai, telefono numeriai, taip pat papildytos Vilniečio kortelės numeris ir pirkimo duomenys.

Šių dokumentų siuntimasis nebuvo niekaip apribotas – vienas vartotojas galėjo gauti visą šūsnį svetimų duomenų. Tai sužinoję piktavaliai procesą nesunkiai galėtų ir automatizuoti sukūrę specialų kodą. Tokiu būdu per kelias valandas jų kompiuteryje atsidurtų visų sistemoje užsiregistravusių vilniečių ir miesto svečių asmeniniai duomenys.

Suskubo taisyti

Vakar apie skylę tinklalapyje pranešus Vilniaus savivaldybės atstovams, ji netrukus buvo užtaisyta. Šiuo metu neteisėtai atsisiųsti kitų sistemos naudotojų duomenų nebeįmanoma.

Savivaldybės įmonės „Susisiekimo paslaugos“ projektų vadovas Antonas Nikitinas teigė neturintis duomenų, kad kas nors būtų bandęs šia spraga pasinaudoti piktavališkais tikslais. Ji galėjo atsirasti šių metų pradžioje pertvarkant tinklalapį.

„Sausį pradėjęs veikti naujasis Vilniečio kortelės savitarnos tinklalapis iki šiol veikia kaip atvira bandomoji beta versija, kurios vartotojų prašome elektroniniu paštu informuoti apie pastebėtus netikslumus. Apie tai skelbiama pačiame tinklalapio viršuje matomoje juostoje“, – teigė A.Nikitinas.

Rimtas pažeidimas

Asmens duomenų teisinės apsaugos įstatyme (ADTAĮ) nurodoma, kad duomenų valdytojas ir duomenų tvarkytojas privalo pasirūpinti priemonėmis, kurios užtikrintų asmens duomenų apsaugą nuo sunaikinimo, pakeitimo, atskleidimo ar bet kokio neteisėto tvarkymo. Pasirinktos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.

Šiuo atveju įstatymo reikalavimai nebuvo įgyvendinti – pašaliniai asmenys galėjo susipažinti su kito asmens duomenimis: „Duomenų valdytojo reikiamų saugumo priemonių neužtikrinimas yra rimtas ADTAĮ pažeidimas“, – sakė Valstybinės duomenų apsaugos inspekcijos Informacijos ir technologijų skyriaus vedėja Aušra Gučienė.

Anot jos, pavienių asmens duomenų, tokių kaip pavardė, adresas ir kontaktai, nutekėjimas didelės grėsmės nekelia – turėdami vien juos piktavaliai milžiniškos žalos padaryti negalėtų. Vienas būdų, kam jie galėtų būti iškart panaudoti, – rinkodara.

Kitas variantas: žinodami pavardę, telefoną bei gyvenamosios vietos adresą vagys galėtų apsimesti, pavyzdžiui, siuntų išvežiotoju: „Ar kalbu su Pavardeniu? Atvežiau siuntinį – ar esate namuose? Ne? Gal kas nors kitas ten būtų? Sakote, iki vakaro namai bus tušti... Na, ką padarysi.“

Tačiau jei įvairiais būdais apie konkretų asmenį būtų surinkta daug informacijos, tuomet dėl tapatybės vagystės galėtų būti įvairių pasekmių – finansinių, teisinių ir panašiai.

„Ši spraga rimto pavojaus vartotojams nekėlė, nes tai nėra ypatingi duomenys, kaip kad informacija apie sveikatą, teistumą, įsitikinimus. Tiesiogiai panaudoti šiuos duomenis galima tiktai rinkodarai, o Vilniečio kortelės sąskaita būtų naudinga su kita papildoma informacija“, – teigė A.Gučienė.

Vilniečio kortele naudojasi apie 370 tūkstančių žmonių, pervedimai elektroninėje sistemoje sudaro 5,5 proc. apyvartos.

Per metus sulaukė 45 vartotojų skundų

Valstybinė duomenų apsaugos inspekcija praėjusiais metais gavo 45 skundus, susijusius su netinkamu duomenų tvarkymu internete. Keletas pranešimų buvo susiję su techninėmis klaidomis. Jas duomenų valdytojai stengiasi ištaisyti labai operatyviai. Tokie atvejai būna susiję arba su programinės įrangos klaidomis, arba su duomenų perdavimu naudojant nesaugų protokolą.

Taip pat buvo pranešimų dėl neteisėto duomenų atskleidimo (dėl darbuotojų klaidų), tačiau didžiausią dalį skundų, susijusių su duomenų tvarkymu internete, sudaro neteisėtas duomenų paskelbimas interneto svetainėse.

   

Facebook komentarai