– Kas jūs esate? Kaip apibūdintumėte save? Ar atstovaujate kokioms nors idėjoms?
– Esu nuobodžiaujantis paauglys, bandantis užsidirbti pinigų. Nelaikau savęs programišiumi. Taip pat didžiuojuosi esąs Juodųjų izraelitų (angl. Black Hebrew Israelites) judėjimo dalimi.
– Kodėl pasirinkote tokį gyvenimo kelią – pardavinėti duomenis, kurie nėra jūsų?
– Prekyba duomenimis atneša daug pinigų. Augau neturtingoje aplinkoje. Nejaučiu jokio gailesčio, nes apsaugoti save yra įmonės pareiga.
– Kaip apibūdintumėte – kas yra ir kas nėra programišius?
– Mano akimis, programišius yra tas, kuris kuria savo įrankius ir turi žinių apie programavimą – tas, kuris pats randa spragą. Programišiai, kuriuos matote filmuose ar „YouTube“, yra netikri arba naudoja pasenusius metodus. Šiuolaikinis įsilaužimas yra labai lengvas ir paprastas. Tuo gali pradėti užsiiminėti kiekvienas, kas turi programavimo žinių.
– Ar iki šio atvejo ką nors žinojote apie Lietuvą?
– Turiu baltiškos kilmės DNR. (Šypsosi).
– Kiek ilgai užsiimate šia veikla? Ir kodėl? Ar tai yra hobis, ar papildomos (o gal pagrindinės?) pajamos – o galbūt taip kovojate prieš žmogiškąjį nerūpestingumą?
– Programuoju penkerius metus, o spragų ieškau nuo 2018-2019 m. Pradėjau nuo įsilaužimų į mažas konkurentų svetaines – niekada negalvojau, kad įsilaužinėsiu į dideles kompanijas. Šiuo metu, dėl koronaviruso, man tai yra pajamų šaltinis. Tam tikra prasme – kova su kapitalizmu. Bet aš ne komunistas – laikau save socialistu.
– Ar galėtumėte labai paprastai – taip, kad suprastų močiutė – papasakoti, kaip jūs gavote šiuos duomenis?
– Iš DNS „cname“ įrašų. Įsivaizduokite telefonų knygą, kurioje surašyti domenai – ir kurioje buvo pateikta informacija ir apie „CityBee“ domeną. Įrašas apie „CityBee“ nurodė jų talpyklos serverį – ir jis buvo atviras. Kiekvienas galėjo jame apsilankyti ir parsisiųsti viską, kas ten buvo. Duomenys tame serveryje gulėjo trejus metus.
– Šį nutekintą duomenų paketą sudaro daugiau nei 100 tūkst. nekaltų žmonių asmeniniai duomenys – kuriems tiesiog nepasisekė, kad tapo klientais įmonės, kuri prastai pasirūpino jų duomenų apsauga. Savo internete paskelbtame atsišaukime teigiate, kad kad jums gaila šių žmonių, ir kad kaltinate ne juos, bet įmonę – tačiau vis tiek pardavinėjate jų jautrius duomenis. Ar tame nejaučiate prieštaros?
– Na, manau, tai, kad parduodu jų duomenis, privers žmones atidžiau pažvelgti į dideles korporacijas ir kokius duomenis jie saugo. Ir pradės kovoti už decentralizuotą internetą. Mano duomenys taip pat buvo nutekinti, jie buvo dar didesnėje duomenų bazėje – ir turbūt ir jums taip yra nutikę. Beje, ar jūsų duomenys buvo nutekinti, galima pasitikrinti haveibeenpwned.com.
– Ar yra koks būdas jus įtikinti nutraukti šių duomenų platinimą? Ar įsivaizduojate kokį scenarijų, kuris tai galėtų nulemti? Pavyzdžiui, vieša įmonės vadovo atgaila, o galbūt šalies prezidento prašymas?
– Vienintelis atvejis, dėl kurio nustočiau tai daryti – jei vyriausybės pradėtų riboti monopolininkams įgyti nesąžiningus pranašumus. Kaip prašymą įvertinčiau paklusimą valdžios skelbiamoms taisyklėms. Ar auką solid.mit.edu
– Sakėte, kad duomenų bazės kol kas dar niekas nenusipirko. Kaip tai gali būti? Juk kaina nėra didelė.
– Šiuo metu ji jau kelis kartus yra parduota. Nustatau nedideles kainas, nes manau, kad kiekvienas turėtų turėti galimybę tai įsigyti. (Šypsosi).
– Ar manote, kad darote pasaulį geresniu?
– Laikau save kovojančiu už monopolijų griūtį – ir už decentralizuoto interneto kūrimą, solidproject.org.
Nutekino kliento duomenis
Portalas lrytas.lt primena, kad pirmadienio popietę pasklido informacija, jog viename programišių lankomame forume platinama nutekinta duomenų bazė, kurioje sukaupti trumpalaikės automobilių nuomos bendrovės „CityBee“ asmeniniai duomenys – vardai, pavardės, elektroninio pašto adresai, asmens kodai ir (kaip netrukus paaiškėjo, labai silpnai užšifruoti) vartotojų paskyrų slaptažodžiai.
Antradienio naktį ten pat atsirado skelbimas ir apie parduodamą dar vieną duomenų bazę – pilnesnę, kurioje jau yra ir realūs vartotojų adresai, jų asmens dokumentų duomenys (labiausiai tikėtina, numeriai ir galiojimo data), galimai – ir kelionių bei kita informacija.
Kaip pranešime spaudai atkreipia dėmesį advokatų profesinės bendrijos „Avocad“ teisininkai, tai yra nerimą keliantis asmens duomenų apsaugos pažeidimas, nes kiekviena įmonė turi dėti pastangas, jog būtų diegiamos deramos duomenų saugumo priemonės, taip būtų saugomasi ir išvengiama kibernetinių atakų.
„Žinoma, ar buvo įgyvendintos pakankamos saugumo priemonės, atsakys tik Valstybinė duomenų apsaugos inspekcija ir jos tyrimas“, – rašoma pranešime spaudai.
Advokatai pateikia pavyzdžių, už tai gali grėsti baudos ir žalos klientams kompensavimo procedūros. „Europos valstybių praktika rodo, kad už nepakankamą ir netinkamą saugumo priemonių naudojimą, dėl ko yra nutekinami asmens duomenys, įmonės įprastai susilaukia didesnių ar mažesnių priežiūros institucijų baudų. Tuo pat metu visi nukentėję asmenys turi teisę reikalauti ir žalos atlyginimo“, – teigia „Avocad“ teisininkas mantas Bagys.
Jis pasakoja, kad ES tokių atveju jau buvo, ir ne vienas.
„Praėjusiais metais Jungtinės Karalystės duomenų inspekcija (ICO) nubaudė „British Airways“ 22 mln. eurų bauda, nes 2018 metais po kibernetinės atakos buvo pavogti 400 tūkstančių klientų duomenys – vardai, pavardės, el. pašto adresai bei bankinių kortelių duomenys. Maksimali bauda galėjo siekti ir 100 mln. eurų, tačiau dėl bendrovės patiriamų COVID-19 ekonominių pasekmių ji buvo ženkliai sumažinta“, – pateikia pavyzdžius teisininkas.
Tačiau M.Bagys atkreipia dėmesį, kad įmonės problemos vien bauda nesibaigė. „JK advokatų kontora PGMBM šiuo metu rengia grupės ieškinį, kurio reikalavimai vertinami daugiau nei 800 mln. eurų, o kiekvienam nukentėjusiajam prašoma 2 000 eurų kompensacijos (gruodžio mėnesį buvo 16 tūkst. asmenų, tikimasi surinkti apie 40 tūkst.). Tad ir Lietuvoje po VDAI tyrimo tikėtinas grupės ieškinys. Žinoma, lietuviškos kompensacijos dydį pirmiausia gali lemti paskleistų duomenų jautrumo lygis (pavyzdžiui, ar tarp jų yra finansiniai duomenys)“, – teigiama pranešime spaudai.
Jis primena ir dar vieną atveji – ICO baudą, skirtą gerai žinomam viešbučių tinklui „Marriot“, sulaukusiai 20,4 mln. eurų baudos dėl kibernetinės atakos, kai nukentėjo daugiau nei 339 mln. vartotojų, visame pasaulyje. Pažeidimas tęsėsi net 4 metus, buvo pavogti klientų vardai, pavardės, el. pašto adresai, telefono numeriai, paso duomenys ir kiti asmens duomenys.
