2022-09-16

Valstybinė duomenų apsaugos inspekcija pradėjo tyrimą dėl „Revolut“ asmens duomenų saugumo pažeidimo

patikslinta informacija

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), gavusi UAB „Revolut Bank“, UAB „Revolut Insurance Europe“ (toliau kartu – „Revolut“) pranešimą apie įvykusį asmens duomenų saugumo pažeidimą (toliau – ADSP), savo iniciatyva pradėjo tyrimą minėtų bendrovių atžvilgiu siekdama įvertinti, ar nebuvo Bendrojo duomenų apsaugos reglamento (toliau – BDAR) nuostatų pažeidimo.

Trumpa informacija apie įvykusį ADSP:

  • Pirminiais duomenimis nustatyta, kad pasinaudojus socialinės inžinerijos metodais buvo gauta prieiga prie „Revolut“ duomenų bazės;
  • „Revolut“ saugos komanda, pastebėjusi saugumo incidentą, operatyviai ėmėsi veiksmų, siekdama panaikinti piktavalio įgytą prieigą prie bendrovės klientų duomenų ir sustabdyti incidentą;
  • Pagal pateiktą patikslintą informaciją incidento metu galėjo būti paveikti 50 150 klientų visame pasaulyje (iš jų 20 687 Europos Ekonominėje Erdvėje) duomenys, tokie kaip vardai, pavardės, adresai, el. pašto adresai, telefonų numeriai, dalis mokėjimo kortelių duomenų (pagal bendrovės pateiktą informaciją kortelių numeriai buvo užmaskuoti), sąskaitų duomenys ir kt.
  • Galimai paveiktų Lietuvoje esančių vartotojų skaičius – 379.
  • Bendrovė nurodė, kad vykdo komunikaciją su konkrečiais klientais, kurių asmens duomenų konfidencialumas buvo pažeistas šio incidento metu.
  • Klientai el. laiškais įspėjami apie įvykusį ADSP, pateikiami atsakymai į galinčius kilti klausimus, patvirtinama, kad lėšoms sąskaitose nekilo grėsmė, paaiškinama, kokių žingsnių „Revolut“ ėmėsi, kad apsaugotų klientus, ir pan.
  • „Revolut“ šiuo metu tęsia kibernetinio incidento ir asmens duomenų saugumo pažeidimo tyrimą.
  • „Revolut“ atkreipia dėmesį, kad dėl incidento neskambins ir nesiųs sms žinučių, neprašys pateikti prisijungimo duomenų ar prieigos kodų, todėl bet kokius bandymus susisiekti reikėtų vertinti įtariai.

Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą savo iniciatyva dėl galimo asmens duomenų saugumo pažeidimo minėtose organizacijose, todėl atskiri asmenų skundai nebus nagrinėjami. Platesnė informacija bus skelbiama baigus tyrimą.

Patarimai dėl asmens duomenų saugumo

VDAI ragina gyventojus būti budrius ir dėmesingus kibernetinėje erdvėje. Kibernetiniai nusikaltėliai nuolat ieško būdų, kaip užsidirbti pinigų Jūsų sąskaita ir bando išnaudoti žmogiškas emocijas, kad pasinaudojant socialinės inžinerijos technikomis, išgautų jiems reikalingą informaciją tiesiogiai iš Jūsų. Dažniausiai sukčiai vadovaujasi tuo pačiu principu –  stengiasi užmezgę emocingą pokalbį priversti Jus imtis veiksmų jų neapgalvojus.

Piktavaliai ir sukčiai gali bandyti, naudodamiesi paviešinta informacija apie šį asmens duomenų saugumo pažeidimą, išvilioti iš Jūsų įvairius prisijungimo ar kitus svarbius asmens duomenis, siūlyti kokias nors fiktyvias paslaugas ir raginti jas apmokėti.

Kritiškai vertinkite tai, kam pateikiate savo asmeninius duomenis. Bankai ir kitos teisėtai veikiančios organizacijos ar institucijos paprastai neprašo prisijungimo duomenų bei asmeninės informacijos el. laiškais, telefonu ar socialiniais tinklais. Būkite atsargūs dėl visų el. laiškų ar SMS žinučių, kuriuose prašoma pateikti bet kokią asmeninę informaciją, o kilus įtarimų, mėginkite susisiekti tos organizacijos oficialiu kontaktiniu telefono numeriu ir pasiteiraukite, kam bus naudojami Jūsų asmens duomenys.

Siekiant apsisaugoti nuo įvairių sukčiavimo, asmens duomenų viliojimo metodų, pasitikrinkite pateikiamą informaciją ar pasitarkite su patikimais žmonėmis prieš atlikdami veiksmus, kurie potencialiai gali Jums pridaryti žalos.

Kitas svarbus veiksnys yra dėmesingumas, nes socialinė inžinerija remiasi skubinimu priimti sprendimus, nespėjus apgalvoti ir pasverti jų būtinumo ir reikalingumo, tikintis, kad elgsitės impulsyviai ir iracionaliai. Nepriimkite sprendimų paskubomis ir nepasiduokite spaudimui.

Tais atvejais, kai nuteka el. pašto adresai ir telefonų numeriai, žmonės gali sulaukti galimų kenkėjiškų trumpųjų žinučių (SMS), el. laiškų ar sukčiaujančių asmenų skambučių. VDAI ragina žmones nespausti el. laišku ar SMS gautų nuorodų, nesidalinti savo slaptažodžiais, PIN kodais, būti atidiems ir kritiškai vertinti gaunamą informaciją.

Daugiau informacijos apie sukčiavimo prevenciją ir asmens duomenų saugumą internete:
www.neapsigauk.lt
Lietuvos bankų asociacijos patarimai, kaip išvengti sukčiavimo internete
PATARIMAI, jeigu Jūsų paskyra buvo „nulaužta“
Kaip netapti tapatybės vagystės auka
Dėl saugaus naršymo internete