Alates neljapäevast võtab Allium UPI meilitsi ühendust iga inimesega, kelle andmeid ebaseaduslikult alla laaditi. Neilt saab ka täpsemalt teada, mis sorti info iga kliendi kohta lekkis.

Kelmid said kätte andmed aastatest 2014–2020, sest tegu oli andmebaasi varukoopiaga, kus reaalaja infot ei kuvatud.

Keskkriminaalpolitsei küberkuritegude büroo juhi Ago Amburi sõnul lekkisid iga inimese kohta erinevad andmed.

Kokku saadi kätte üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit. Samuti lekkisid 43 miljoni ostu andmed, kus on näha käsimüügiravimid ja muud apteegikaubad, nagu plaastrid või valuvaigistid. Ostetud retseptiravimite andmeid kurjategijad kätte ei saanud. Ka paroole nende kätte ei sattunud.

"Rünnaku alla sattunud andmekogud sisaldasid lisaks klientide nimele e-posti aadresse, telefoninumbreid, isikukoode, aadressiandmeid ja mitteravimite oste. Siiski on vähese osa klientide ostuajaloos erandlikel juhtudel salvestunud info käsimüügiravimite kohta," teatas Allium UPI neljapäeval.

"Kliendiprogramm ei salvesta paroole, pangaandmeid ega infot retseptiravimite kohta ning nende sattumine kurjategijate kätte on välistatud. Menetluste toimumise ajal ei saa Allium UPI OÜ uurimise huvides täiendavaid detaile avalikkusega jagada," teatas ettevõte.

Allium UPI juhatuse liige Marika Pensa sõnul võtab ettevõte andmekaitset väga tõsiselt ja vabandab võimalike ebamugavuste pärast, mida antud juhtum võib inimestele põhjustada.

"Oleme rakendanud lisameetmeid kliendiprogrammi andmete turvalisuse tugevdamiseks; klientide andmed on hoitud kindlalt ning teeme kõik endast oleneva, et selliseid juhtumeid tulevikus ei esineks," ütles Pensa.

Politseile teadaolevalt ei ole lekkinud andmeid kuritegelikel eesmärkidel kasutatud, kuid taolisi lekkeid kasutavad ära järgmised kelmid.

"Seetõttu palume olla tähelepanelikud, kui teiega võtab seoses selle andmelekkega ühendust keegi teine peale Allium UPI, sest kelmid võivad praegust olukorda ära kasutades üritada inimestelt raha ja veel enam andmeid välja petta," ütles Ambur. Ta rõhutas, et kui ettevõte ise andmelekkest teavitab, ei küsi ta seejuures inimestelt lisaandmeid.

Politsei teeb rahvusvahelist koostööd

Allium UPI teavitas veebruari keskel keskkriminaalpolitseid, riigi infosüsteemi ametit ja andmekaitse inspektsiooni, et nende hallatud kliendikaardisüsteemi on ebaseaduslikult sisenetud ja laetud alla klientide andmeid.

"Kuriteo avastamisest alates on politsei teinud tihedat koostööd erinevate riikidega, et tuvastada kurjategija kuumadel jälgedel," ütles Ambur.

Kriminaalmenetlust alustati paragrahvi järgi, mis käsitleb arvutisüsteemile ebaseaduslikult juurdepääsu hankimist. Kriminaalmenetlust viib läbi keskkriminaalpolitsei küberkuritegude büroo ja juhib riigiprokuratuur.

AKI: andmekaitse on ettevõtjatele teisejärguline

Politsei teatel kulusid süsteemi sissemurdmisest kuni andmete allalaadimiseni mõned minutid, mis viitab sellele, et Allium UPI ei teinud piisavalt inimeste isikuandmete kaitseks. Kas ja mida oleksid nad saanud teisiti teha, seda uurib andmekaitse inspektsioon (AKI) järelevalvemenetluses.

AKI peadirektori Pille Lehise sõnul näitab see juhtum, et andmete kaitsmine on ettevõtjatele teisejärguline teema.

"Ettevõtetel ja asutustel tuleb tõsiselt kaaluda, kas ja kuidas kasvatada investeeringuid turvalisuse tagamiseks. Taolise juhtumi kahju ei ole pelgalt materiaalne, vaid usaldust õõnestav mainekahju," sõnas ta.

Andmekaitse inspektsioon palub inimestel kriitiliselt suhtuda oma isikuandmete jagamisse ka kliendikontode tarbeks. Samuti juhtis Lehis tähelepanu, et kord antud nõusoleku saab küll igal momendil tagasi võtta, kuid kogutud andmeid lõplikult kustutada ei saa.

"Peame inimestena ka ise huvi tundma, milliseid andmeid meie kohta teatakse, millisel eesmärgil neid kogutakse ja kes neile ligi pääseb. Andmetest on saanud üksikisikute kõige olulisem ja väärtuslikum valuuta. Kaupleme nendega palun vastutustundlikult," manitses AKI peadirektor.

Küberpätid pingutavad tundlike andmete nimel

Riigi infosüsteemi ameti intsidentide lahendamise osakonna (CERT-EE) juht Veikko Raasuke selgitas, et tõsiste tagajärgedega küberrünnak ettevõtte või asutuse vastu algab sageli mõne töötaja kasutajakonto ülevõtmisest.

Kasutajanime ja parooli teadasaamiseks võib kurjategija kasutada näiteks pahavara, mille töötaja tõmbab oma arvutisse kas kelmide saadetud petukirja manusest või näiteks kahtlasest kohast saadud piraattarkvaraga.

"Selleks, et kurjategijad ei pääseks töötaja lekkinud parooliga kohe süsteemi sisse, tuleks kindlasti kasutada kaheastmelist autentimist. Samuti peaksid olema internetist ligipääsetavad ainult need infosüsteemid ja teenused, mille puhul on see tingimata vajalik, ja kõik need tuleks paigutada VPN-i või muu turvalahenduse taha," kirjeldas Raasuke.

CERT-EE automaatseire andmetel on Eestis endiselt üle 1000 internetist vabalt ligipääsetava kaugtöölaua.

Riigiprokurör Vahur Verte ütles, et küberkurjategijad tegutsevad teadlikult selle nimel, et ligi pääseda kõige tundlikumatele andmetele. Seepärast peavad küberturvalisusse suhtuma eriti vastutustundlikult need ettevõtted, kes töötlevad terviseandmeid või teisi tundlikke andmeid.

"Üha enam tuleb inimestel usaldada enda isikuandmeid teenusepakkujatele, seetõttu usaldavad inimesed, et teenusepakkujad panustavad tõsimeelselt ka nende andmete kaitsmisse. Seda usaldust on kerge kaotada, kuid raske tagasi võita," sõnas Verte.

Nii nagu Apotheka apteegikett ja Pet City loomapood, kuulub ka Allium UPI ravimikontserni Magnum, mille omanik on Margus Linnamäe.

Leheküljelt https://haveibeenpwned.com/ saab igaüks kontrollida, kas tema meiliaadress ja parool on lekkinud. Kui selgub, et on, tuleks parool kohe ära vahetada.