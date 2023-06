Visi šie duomenys pasiekiami be jokio kompiuterinio įsilaužimo – duomenys atviri, juos jau yra suindeksavusios populiarios paieškos sistemos „Google“ ir „Bing“, „Google“ jau saugo ir savo atsarginėse kopijose (angl. cache). Norint pasiekti dokumentus tereikia kiek aukštesnių nei vidutinių darbo su internetinėmis paieškos sistemomis žinių, bet vienos eilutės užklausa atveria prieigą prie pačių įvairiausių dokumentų. Ieškoti galima tiesiog naudojantis raktažodžiu „telefonas“, „slaptai“, „konfidencialu“ ir pan.

Saugumo spragą atradęs kibernetinio saugumo analitikas Darius Povilaitis portalui lrytas.lt teigia, kad visa ši informacija viešai pasiekiama dėl aplaidaus Seimo IT sistemų konfigūravimo.

Išnaudojant šią spragą galima rasti įvairius dokumentus – pavyzdžiui, gyvenimo aprašymus (curriculum vitae, CV), kuriuose sukoncentruota informacija apie asmenį: vardas, pavardė, gimimo data, šeimyninė padėtis, telefonas, namų adresas, telefonas, išsilavinimas, darbo veikla po universiteto baigimo ir kita.

Pavyzdžiui, vienas iš pirmųjų dokumentų „Google“ sistemoje, kuriuos rado portalas lrytas.lt – Rimantės Šalaševičiūtės dosjė: jos gimimo data, gimimo vieta, detali šeimyninė informaciją apie vyrą ir dukras, namų adresas, telefonai, išsilavinimas, darbo patirtis, deklaruojamos mokamos kalbos.

Kitas dokumentas – vieno rajono savivaldybės tarybos sprendimo, kuriuo vardu ir pavarde nurodytam savivaldybės administracijos direktoriui išduodamas leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Slaptai“, tekstas.

Trečias dokumentas – vieno asmens Lietuvos Respublikos generaliniam prokurorui pateiktas skundas dėl M.Puidoko galimai skleidžiamo šmeižto. Dokumente matomi skundo teikėjo vardas ir pavardė, asmens kodas, adresas ir telefonas.

Ketvirtas dokumentas – žyme „Konfidencialu“ pažymėtas 2021 m. Suskystintų Gamtinių dujų ilgalaikio projekto eigos pristatymas (prezentacija). Ir tai – tik keli atsitiktiniai pavyzdžiai, atvirai randami „Google“ sistemoje.

Žala jau padaryta

D.Povilaičio teigimu, didžiausia šios spragos problema yra ta, kad žala jau padaryta, šimtai ar tūkstančiai dokumentų jau yra „Google“, „Bing“ ir turbūt kitose paieškos sistemose, ir juos iš ten panaikinti – milžiniškas darbas.

O surasti šiuos duomenis, kibernetinio saugumo analitiko teigimu, nėra sunku: dirbantys su paieškos sistemomis (tarkime, interneto paieškų optimizavimu, SEO) tai tikrai gebėtų, be to, paaiškinimus kaip atlikti detalesnę paiešką (angl. advanced search) viešai pateikia ir pati „Google“, tad to tikrai nesunkiai gali išmokti kiekvienas. O paiešką galima daryti įvairiais pjūviais, naudojant bet kokius raktinius žodžius.

Kalbant apie problemos sprendimą – anot specialisto, laukia itin didelis darbas.

„Ištrinti šiuos duomenis techniškai turbūt įmanoma, bet turbūt tai bus didžiulis darbas ir tai truks labai ilgai. Situacija tokia: pirma, Seimo pareigūnai nežino, kas tuos duomenis jau pasiėmė – kadangi tuos duomenis galima buvo paimti ne tik iš paties Seimo, bet ir paieškos sistemos atsarginės kopijos. Antra, reikia identifikuoti visą informaciją, kuri tapo pažeidžiama – nes ji pateko ne tik į „Google“, bet ir į kitus paieškos variklius. Tikrinau „Bing“ ir jau radau. O kiek iš viso yra tokių paieškos variklių, kiek ši informacija plačiai pasklido – čia jau labai sunku pasakyti. Dėl kiekvieno įrašo reikės kažkur kreiptis, naikinti tą įrašą, tad darbas čia nusimato milžiniškas“, – portalui lrytas.lt kalbėjo specialistas.

Paklaustas, ar įmanoma kiekybiškai įvertinti, kiek dokumentų nutekėjo, D.Povilaitis nurodė, kad naudojantis išorinėmis priemonėmis (pvz. naudojantis tuo pačiu „Google“), grubiai kalbant galima kalbėti apie šimtus ar ir tūkstančius. „Dalis taip randamos informacijos yra vieša, dalis ir nevieša, be to „Google“ dubliuoja ir ne visada tiksliai rodo informaciją, todėl tiksliai įvertinti sunku. Bet tarkime, gyvenimo aprašymų mačiau mažiausiai bent kelis šimtus.

Seimas skelbia, kad tai nėra kibernetinis incidentas

Penktadienio popietę Seimo išplatintame pranešime teigiama, kad bendradarbiaujant su Nacionaliniu kibernetinio saugumo centru pastebėta, kad viešose Seimo svetainėse matomi dokumentai su asmens duomenimis. „Seimo kanceliarija imasi visų priemonių, kad duomenys būtų apsaugoti, ir aiškinasi jų viešinimo priežastis“, – rašoma pranešime.

„Atkreipiame dėmesį, kad tai nėra kibernetinis incidentas, šių duomenų viešinimas susijęs su organizacine veikla“, – teigia Seimo kanceliarija.

Nacionalinis kibernetinio saugumo centras (NKSC) portalui lrytas.lt patvirtino, kad yra gavęs informaciją iš LRS kanceliarijos, kad penktadienį fiksuotas incidentas neturi kibernetinio elemento ir kad LRS kanceliarija šiuo metu vykdo vidinį tyrimą.

„NKSC apie šį incidentą informavo Valstybinę duomenų apsaugos inspekciją“ , – nurodoma pranešime.