Представьте себе следующее: вы покупаете билет на концерт или спектакль за несколько десятков евро (или даже сотню или больше). Вы ждали этого события полгода, приехали ради него в другой город (а может, и страну), и вот вы подошли к билетному контролю в зале, сканер билетов пищит, и контролер сообщает вам, что билет недействителен. Что? Как? Ну, билет уже был помечен, кто-то уже прошел с ним – и теперь вы пытаетесь пройти второй раз.
Именно такой сценарий развития событий произошел в среду – утечка данных с сайта Bilietai.lt, которая, по утверждению автора сообщения, была призвана продемонстрировать наличие бреши в системе безопасности.
Данные, которые, как указал порталу Telefonai.eu сам автор утечки, включают не только купленные билеты, которые можно перепродать, но и личные данные пользователей. По мнению автора утечки, это позволяет перепродавать уже купленные пользователями билеты. Lrytas.lt связался с человеком, который утверждает, что имеет доступ к информации пользователей Bilietai.lt, но он отказался от дальнейших комментариев, заявив лишь, что “за определенную плату он может поделиться всем, что ему удалось сделать”.
Позже он пояснил порталу, что у него не было намерения продавать информацию пользователей. “Целью представленного мной отчета, который [уже] удален, было найти человека, которому я мог бы передать все инструменты и знания для продолжения эксплуатации недостатка безопасности”, – сказал Lrytas.lt человек, предоставивший образцы данных.
На вопрос о том, сколько людей, по его мнению, могут пострадать от этого изъяна в системе безопасности, он ответил, что это трудно оценить, поскольку речь идет об общей системе, объединяющей платформы в четырех странах. “Все платформы по продаже билетов, упомянутые ранее, связаны общей системой и управляются AS Piletilevi Group”, – сказал аноним.
Lrytas.lt ознакомился с некоторыми примерами утечки данных и связался с одним из лиц, который подтвердил, что данные в примере соответствуют действительности: г-н Генадиюс Л. (настоящее имя известно редакции) подтвердил, что он покупал билеты на Bilietai.lt на различные даты в течение последнего месяца, что означает, что можно подтвердить, что по крайней мере часть утечки данных является подлинной.
В четверг утром директор Национального дистрибьютора билетов (Bilietai.lt) Рамунас Шаучиковас также связался с Lrytas.lt. Он заявил, что Bilietai.lt получил информацию об утечке и передал ее в центр информационных технологий и данных в Эстонии, где находится компания. По словам директора, эстонские специалисты изучили информацию и подтвердили г-ну Шаучикову, что возможности доступа к данным пользователей нет.
“Данные клиентов и покупки находятся в безопасности, и им не нужно ничего делать”, – сказал Шаучиков. – Более того, эстонцы предоставили эту информацию своему органу по защите данных. Но суть в том, что никаких дыр нет, и покупки в безопасности”.
На просьбу уточнить, не сообщила ли компания Bilietai.lt об инциденте в Государственную инспекцию по защите данных Литвы, Шаучиков ответил, что этого не было сделано, потому что центр данных и информационных технологий компании находится в Эстонии, и, согласно политике защиты данных группы, ведущий орган находится в Эстонии.
Отвечая на вопрос о случае, когда пользователь уже подтвердил Lrytas.lt, что в образцах опубликованных данных действительно есть данные о его покупках, Шаучиков сказал, что если бы это подтвердилось и был бы круг людей, то, конечно, компания связалась бы с ними. “Но на данный момент доступа к данным нет”, – сказал директор литовской компании.