Kā banku sistēmu “nepilnības” ļauj krāpniekiem iegūt klientu vārdus un konta numurus — Lente.lv

Datu Noplūdes Aizdomas: Tehnoloģiju Eksperta Brīdinājums

Latvijas tehnoloģiju un drošības jomas entuziasts Elviss Strazdiņš publiski izteicis satraucošu apgalvojumu, ka komercbankas savās sistēmās, ieviešot jaunas “inovācijas”, netieši nodrošina krāpniekiem iespēju piekļūt klientu sensitīviem datiem. Kā ziņo Latvijas Avīze, Strazdiņš savā sociālo tīklu ierakstā norādījis, ka banku lietotnēs ir atklāta ievērojama sistēmas nepilnība, kas ļauj potenciālajiem ļaunprātīgiem darītājiem viegli uzzināt personas identifikācijas datus.

Procesu aprakstot, eksperts uzsvēris, ka krāpniekam nepieciešams vien ienākt kādas bankas mobilajā lietotnē, doties uz maksājumu veikšanas sadaļu un ievadīt upura tālruņa numuru. Rezultātā banka, pēc Strazdiņa teiktā, “ar lielāko prieku iedos šī cilvēka vārdu, uzvārdu un pat konta numuru”. Viņš šo risinājumu dēvē par “stulbāko ‘inovāciju’, kādu pēdējā laikā esmu redzējis”.

Zibsaišu Reģistra Ietekme un Banku Atšķirīgā Pieeja

Šāda informācijas atklāšana, izmantojot tālruņa numuru, ir cieši saistīta ar Zibsaišu reģistra darbību, ko nodrošina Latvijas Banka. Šis reģistrs paredzēts, lai padarītu starpbanku maksājumus ātrākus un ērtākus, ļaujot klientiem veikt pārskaitījumus, norādot tikai saņēmēja mobilo tālruņa numuru. Latvijas Bankas publiski pieejamā informācija liecina, ka 2023. gada beigās šajā reģistrā bija reģistrēti vairāk nekā 819 tūkstoši zibsaišu, kas norāda uz plašu šī pakalpojuma izmantošanu Latvijā (un Igaunijā). Lai gan mērķis ir uzlabot maksājumu sistēmu noturību un ērtumu, sistēmas funkcionalitāte var tikt ļaunprātīgi izmantota.

Strazdiņš īpaši norādījis uz problēmu ar Swedbank klientiem, apgalvojot, ka šīs bankas klients no šīs “fīčas” pat nevarot atteikties. Savukārt viņa teiktais liecina par atšķirībām starp komercbankām. Eksperts atzīmējis, ka dažu banku gadījumā šāda pakalpojuma funkcija ir ieslēgta pēc noklusējuma, kamēr citām tā ir jāaktivizē pašiem. Interesanti, ka vēlāk, pēc Strazdiņa atklājuma, viņš tvītojis, ka vairs nevienam numuram nav iespējams pārbaudīt datus, izmantojot telefona numuru, radot jautājumu, vai bankas ir steidzami reaģējušas uz atklāto nepilnību.

Kā Tas Darbojas un Kādas Sekas Tam Var Būt

Sistēma, kas ļauj atgūt personas datus, izmantojot vien tālruņa numuru, rada nopietnus riskus krāpšanas jomā. Zinot personas vārdu, uzvārdu un konta numuru, krāpnieki var veidot ļoti pārliecinošus sociālās inženierijas uzbrukumus. Piemēram, viņi var mēģināt izlikties par bankas darbiniekiem, lai izvilinātu vēl sensitīvākas informācijas, piemēram, piekļuves kodus vai paroles. Tas, ka šāda informācija ir pieejama, apšauba datu aizsardzības pamatprincipus Eiropas Savienībā, īpaši ņemot vērā Vispārīgās datu aizsardzības regulas (GDPR) prasības par datu minimizēšanu un mērķtiecīgumu.

Lai gan Latvijas Banka, tāpat kā citas iestādes, publiski norāda, ka nodrošina personas datu apstrādi atbilstoši normatīvo aktu prasībām, šī atklātā funkcionalitāte šķiet esoša konfliktā ar šīm prasībām. Latvijas Bankas mājaslapā atgādināts, ka dati, piemēram, konta numuri un tālruņa numuri, tiek apstrādāti, tomēr to publiskā vai daļēja publiskā atklāšana caur komercbanku interfeisu ir cita līmeņa jautājums.

Kādas Ir Banku Atbildes un Reaģēšana

Publiski izskanējis minējums, ka SEB bankas klientiem šāds pakalpojums varētu būt ieslēgts automātiski. Lai gan konkrēti komentāri no visām iesaistītajām bankām par šo specifisko atklājumu uz raksta tapšanas brīdi var nebūt pieejami, šādas baumas liek domāt par nepietiekamu lietotāju kontroles mehānismu pār saviem datiem.

“Šī ir stulbākā “inovācija”, kādu pēdējā laikā esmu redzējis. Un pats sliktākais ir tas, ka, piemēram, Swedbank klienti no šīs “fīčas” pat nevar atteikties.”

Šie izteicieni norāda uz nepieciešamību klientiem būt ārkārtīgi piesardzīgiem, veicot jebkādas darbības bankas lietotnē, kas saistītas ar saņēmēja numura pārbaudi. Drošības eksperti jau ilgstoši brīdina, ka, paļaujoties tikai uz digitāliem risinājumiem, sabiedrība kļūst atkarīga no ārējiem faktoriem un sistēmu nepilnībām, un katra jauna pakalpojuma ieviešanai jābūt rūpīgi izsvērtai no datu aizsardzības viedokļa.

Iespējamie Soļi Datu Aizsardzībai

Situācijā, kad šķiet, ka banku sistēmas varētu atklāt datus pat ar minimālu informāciju, patērētājiem jāievēro pastiprināta piesardzība. Lai gan tieša atslēgšanās no konkrētas funkcijas ne vienmēr ir iespējama, kā norādījis Strazdiņš par Swedbank, ieteicams pārbaudīt bankas lietotnes iestatījumus, meklējot jebkādas saistītas privātuma vai maksājumu opcijas. Arī Latvijas Banka mudina iedzīvotājus vērsties pie Datu valsts inspekcijas, ja rodas pamatotas aizdomas par personas datu apstrādes pārkāpumiem.

Šis gadījums kalpo kā spēcīgs atgādinājums, ka finanšu iestāžu tehnoloģiskais progress dažkārt var apsteigt datu drošības protokolu pilnveidošanu. Būtiski ir gaidīt oficiālus banku un uzraudzības iestāžu paziņojumus par šīs atklātās ievainojamības novēršanas gaitu un veiktajiem labojumiem, lai nodrošinātu, ka Latvijas iedzīvotāju finanšu dati tiek aizsargāti ar augstākajiem standartiem.