2024-01-16

Valstybinės duomenų apsaugos inspekcijos informacija dėl incidentų, susijusių su įvairių paslaugų vartotojų prisijungimo duomenimis

Valstybinė duomenų apsaugos inspekcija (toliau – VDAI), reaguodama į pastaruoju metu padažnėjusius incidentus dėl asmens duomenų saugumo pažeidimų, susijusių su įvairių paslaugų vartotojų prisijungimo duomenimis, atkreipia duomenų valdytojų dėmesį į toliau pateiktas rekomendacijas.

Kai vienos svetainės paskyros prisijungimai yra atskleidžiami, piktavaliai, turėdami atskleistus vienos svetainės naudotojų prisijungimo duomenis, bando patikrinti, ar įmanoma turimais prisijungimais prisijungti prie įvairių paskyrų (angl. Credential-stuffing attack). Šiuo atveju duomenų valdytojui pastebėjus, kad yra bandoma neautorizuotai prisijungti prie naudotojų paskyrų, kyla pareiga nustatyti, ar piktavaliui turimais prisijungimais pavyko faktiškai pasinaudoti.

Norėdami apsaugoti naudotojų paskyras nuo piktavalių bandymo prisijungti prie įvairių paskyrų (angl. Credential-stuffing attack) ir minimalizuoti galimus padarinius, duomenų valdytojams rekomenduojama įgyvendinti šiuos veiksmus:

  • Dviejų lygių autentifikavimas (2FA). Įdiekite dviejų lygių autentifikavimą, kad būtų reikalaujama ne tik prisijungimo vardo ir slaptažodžio, bet ir papildomo autentifikavimo veiksmo (pvz., vienkartinio kodo iš mobiliojo įrenginio).
  • Slaptažodžių naudojimo politika. Įvesti slaptažodžių reikalavimus, skatinančius naudotojus kurti stiprius slaptažodžius, ir reikalauti periodiškai juos keisti.
  • Stebėjimas ir analizė. Stebėkite prisijungimų veiklą ir naudotojų elgesį, identifikuokite įtartinus veiksmus ar įprastus prisijungimus iš neįprastų vietų ar įrenginių.
  • Automatinės atakų aptikimo sistemos. Įdiekite sistemas, kurios automatiškai aptiktų įtartinus prisijungimus arba didelius prisijungimų skaičius iš vienos vietos per trumpą laikotarpį.
     

Jei užfiksavote piktavalių bandymą prisijungti prie įvairių paskyrų (angl. Credential-stuffing attack):

  • Svarbus greitas reagavimas. Jei pastebite įtartinas veiklas ar didelį prisijungimų srautą, greitai įsikiškite ir blokuokite galimus piktavalių veiksmus.
  • Pranešimai naudotojams. Praneškite naudotojams apie įvykusią ataką ir raginkite juos keisti slaptažodžius. Teikite aiškią ir suprantamą informaciją apie tai, kas įvyko ir kokių priemonių jie gali imtis.
  • Pranešimas VDAI. Praneškite VDAI apie įvykusį asmens duomenų saugumo pažeidimą. VDAI atkreipia dėmesį, kad incidentai, kai piktavaliai prisijungia prie vartotojo paskyros, yra laikomi asmens duomenų saugumo pažeidimais, keliančiais pavojų asmens teisėms ir laisvėms, todėl pranešimas VDAI yra būtinas (pranešimas VDAI apie ADSP).
  • Incidento analizė. Išsiaiškinkite atakos priežastis ir pažeidimų mastą. Atlikite išsamų incidento tyrimą ir įgyvendinkite papildomas saugumo priemones, kad būtų išvengta panašių atakų ateityje.
  • Atnaujinkite saugumo priemones. Stiprinkite savo saugumo sistemas atsižvelgdami į išmoktas pamokas. Įdiekite naujus ir atnaujinkite esamus saugumo mechanizmus.
  • Bendradarbiavimas su kitais duomenų valdytojais. Jei ataka turi sisteminį pobūdį arba yra susijusi su daugybe platformų, rekomenduojama bendradarbiauti su kitais duomenų valdytojais analizuojant incidentą.

Būkite aktyvūs ir įgyvendinkite saugumo priemones, kurios padėtų sumažinti rizikos lygį ir užtikrintų vartotojų duomenų apsaugą.