Programišiai buvo gavę prieigą prie „Revolut“ vartotojų duomenų: galėjo nukentėti 50 000 klientų – palietė klientus ir Lietuvoje ()
Kaip skelbia Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), gavusi UAB „Revolut Bank“, UAB „Revolut Insurance Europe“ (toliau kartu – „Revolut“) pranešimą apie įvykusį asmens duomenų saugumo pažeidimą, savo iniciatyva pradėjo tyrimą minėtų bendrovių atžvilgiu – siekdama įvertinti, ar nebuvo Bendrojo duomenų apsaugos reglamento (toliau – BDAR) nuostatų pažeidimo.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Kaip skelbiama VDAI pranešime, pirminiais duomenimis nustatyta, kad pasinaudojus socialinės inžinerijos metodais, buvo gauta prieiga prie „Revolut“ duomenų bazės. Teigiama, kad „Revolut“ saugos komanda, pastebėjusi saugumo incidentą, operatyviai ėmėsi veiksmų, siekdama panaikinti piktavalio įgytą prieigą prie bendrovės klientų duomenų ir sustabdyti incidentą.
„Pagal pateiktą patikslintą informaciją incidento metu galėjo būti paveikti 50 150 klientų visame pasaulyje (iš jų 20 687 Europos Ekonominėje Erdvėje) duomenys, tokie kaip vardai, pavardės, adresai, el. pašto adresai, telefonų numeriai, dalis mokėjimo kortelių duomenų, sąskaitų duomenys ir kt. Galimai paveiktų Lietuvoje esančių vartotojų skaičius yra 379“, – skelbiama pranešime.
Kaip portalą lrytas.lt informavo „Revolut“ komunikacijos vadovė Baltijos šalyse Akvilė Adomaitytė, incidentas įvyko rugsėjo 11 d.
„Nedelsdami incidentą nustatėme ir izoliavome, taip apribodami poveikį. Su paveiktais klientais susisiekiame tiesiogiai. Apie incidentą esame informavę 379 klientus Lietuvoje“, – teigė kompanijos atstovė.
Jos teigimu, „Revolut“ patyrė kibernetinį incidentą, dėl kurio neteisėta trečioji šalis trumpą laiką gavo prieigą prie nedidelės dalies (0,16 proc.) klientų duomenų.
„Manome, kad incidentas kilo dėl „phishing“ metodu išgautų darbuotojo prisijungimo duomenų, tai padaryta pasitelkus socialinę inžineriją. Informacija, kurią galėjo trečioji šalis kurį laiką matyti, buvo asmeniniai klientų duomenys. Slaptažodžiai, PIN kodai bei pilni kortelių numeriai nebuvo matomi“, – nurodė A.Adomaitytė.
Registruojant naują „Revolut“ paskyrą, vartotojo prašoma atsiųsti savo asmens dokumento nuotrauką. Į klausimą, ar įsilaužėliai galėjo pasiekti ir šiuos asmeninius duomenis, kompanijos atstovė teigė negalinti atsakyti tol, kol vyksta tyrimas. Kompanija taip pat nenurodė, ar įsilaužimą įvykdęs asmuo (asmenys) kaip nors susisiekė su kompanija, ar internete, programišių lankomuose forumuose dar nėra pastebėta nutekinta bendrovės klientų informacija. Taip pat nepateikė atsakymo į klausimą, kokį laikotarpį apima įsilaužėlių galimai pasiekti duomenys. Tačiau kompanija pabrėžė, kad klientų lėšos nenukentėjo.
„Norime aiškiai pasakyti, kad klientų lėšos nebuvo pasiektos ar pavogtos. Mūsų klientų pinigai yra saugūs – kaip visada. Visi klientai ir toliau gali naudotis savo kortelėmis ir sąskaitomis įprastai, nieko daryti papildomai nereikia, – teigė „Revolut“ Komunikacijos vadovė Baltijos šalyse. – Situaciją nuodugniai tiriame toliau, bendradarbiaujame su visomis reguliavimo institucijomis. Į tokius incidentus žiūrime rimtai ir labai nuoširdžiai atsiprašome visų klientų, kuriuos paveikė šis įvykis. Mūsų klientų ir jų duomenų saugumas yra didžiausias „Revolut“ prioritetas“.
„Revolut“ atkreipia dėmesį, kad dėl incidento neskambins ir nesiųs SMS žinučių, neprašys pateikti prisijungimo duomenų ar prieigos kodų, todėl bet kokius bandymus susisiekti reikėtų vertinti įtariai.
VDAI svetainėje nurodoma, kad atsižvelgiant į tai, jog duomenų apsaugos inspekcija savo iniciatyva jau pradėjo tyrimą dėl galimo asmens duomenų saugumo pažeidimo minėtose organizacijose, todėl atskiri asmenų skundai nebus nagrinėjami. Platesnė informacija bus skelbiama baigus tyrimą.
