Apotheka kliendikaardi omanike andmed sattusid kelmide kätte

Andmekaitse Inspektsioon teatas, et ettevõtte Apotheka andmebaasist laeti ebaseaduslikult alla nimetatud firma kliendikaartide omanike andmeid.

Apteegi- ja haiglakaupadega tegelev ettevõte Allium UPI teavitas veebruaris, et nende hallatud kliendikaardisüsteemi on ebaseaduslikult sisenetud ja laetud alla klientide isikukoode, ostuandmeid ning kontaktandmeid. Asjaolud on selgitamisel alustatud kriminaalmenetluse ja järelevalvemenetluse käigus.

Kriminaalmenetluses on praeguseks tuvastatud, et Allium UPI andmebaasist laeti ebaseaduslikult alla ligi 700 000 Apotheka, Apotheka Beauty ja PetCity kliendikaardi omaniku isikukoodi, üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit. Samuti on võimalik tuvastada ostetud käsimüügiravimeid ja muid apteegikaupu aastatel 2014-2020, kuid mitte ostetud retseptiravimeid. Inimesi, kelle andmeid ebaseaduslikult alla laeti, teavitab sellest Allium UPI isiklikult meili teel.

Keskkriminaalpolitsei küberkuritegude büroo juht Ago Ambur sõnas, et politsei eesmärk on teada saada, kes on selle teo taga. „Kuriteo avastamisest alates on politsei teinud tihedat koostööd erinevate riikidega, et tuvastada kurjategija kuumadel jälgedel. Hetkel politseile teadaolevalt ei ole lekkinud andmeid kuritegelikel eesmärkidel kasutatud, kuid küberkuritegevus on väga rahvusvaheline ning taolisi lekkeid kasutavad osavalt ära ka teised kelmid. Seetõttu palume olla tähelepanelikud, kui teiega võtab seoses selle andmelekkega ühendust keegi teine peale Allium UPI, sest kelmid võivad üritada praegust olukorda ära kasutades inimestelt raha ja veel enam andmeid välja petta. Allium UPI teavitab juhtunust kõiki, kelle andmed alla laeti, kuid seejuures ei küsita inimestelt täiendavaid andmeid,“ lisas Ambur.

Andmekaitse Inspektsiooni peadirektori Pille Lehise sõnul näitab järjekordne juhtum, et andmete kaitsmine on ettevõtjate jaoks teisejärguline. „Ettevõtetel ja asutustel tuleb tõsiselt kaaluda, kas ja kuidas kasvatada investeeringuid turvalisuse tagamiseks. Taolise juhtumi kahju ei ole pelgalt materiaalne, vaid usaldust õõnestav mainekahju. Palume inimestel kriitiliselt suhtuda oma isikuandmete jagamisse, selle intsidendi põhjal ka kliendikontode tarbeks. Kord antud nõusolek on võimalik igal momendil tagasi võtta, kuid juba kogutud andmeid lõplikult kustutada ei saa. Peame inimestena ka ise huvi tundma, milliseid andmeid meie kohta teatakse, millisel eesmärgil neid kogutakse ja kes neile ligi pääseb. Andmetest on saanud meie kui üksikisikute kõige olulisem ja väärtuslikum valuuta. Kaupleme nendega palun vastutustundlikult, sest selle valuuta väärtus on iga päev kasvamas.“

Riigiprokurör Vahur Verte ütles, et küberkurjategijad tegutsevad teadlikult selle suunas, et õnnestuks ligi pääseda tundlikumatele andmetele. „Üha enam tuleb inimestel usaldada enda isikuandmeid teenusepakkujatele, sest digitaalne asjaajamine ja andmete talletamine on paberimajandusest tõhusam ja mugavam. Seetõttu usaldavad inimesed, et teenusepakkujad panustavad tõsimeelselt ka nende andmete kaitsmisesse. Seda usaldust on kerge kaotada, kuid raske tagasi võita. Eriti vastutustundlikult peavad küberturvalisusesse suhtuma ettevõtted, mis töötlevad inimeste terviseandmeid või teisi tundlikke andmeid,“ ütles Verte.

RIA intsidentide lahendamise osakonna (CERT-EE) juht Veikko Raasuke selgitas, et tõsiste tagajärgedega küberrünnak ettevõtte või asutuse vastu algab sageli mõne töötaja kasutajakonto ülevõtmisest: „Kasutajanime ja parooli teadasaamiseks võivad kurjategijad kasutada näiteks pahavara, mille töötaja tõmbab oma arvutisse nakatunud e-kirja manusega või kahtlasest kohast leitud piraattarkvaraga. Selleks, et kurjategijad ei pääseks töötaja lekkinud parooliga kohe süsteemi sisse, tuleks kindlasti kasutada kaheastmelist autentimist. Samuti peaksid olema internetist ligipääsetavad ainult need infosüsteemid ja teenused, mille puhul see on tingimata vajalik, ja kõik need tuleks paigutada ka VPN-i või muu turvalahenduse taha. Paraku selgub CERT-EE automaatseire andmetest, et Eesti on endiselt näiteks üle 1000 internetist vabalt ligipääsetava kaugtöölaua.“  

Kriminaalmenetlust alustati paragrahvi järgi, mis käsitleb arvutisüsteemile ebaseaduslikult juurdepääsu hankimist. Kriminaalmenetlust viib läbi keskkriminaalpolitsei küberkuritegude büroo ja juhib Riigiprokuratuur. Järelevalvemenetlust viib läbi Andmekaitse Inspektsioon.

Inimestel, kelle andmed lekkisid, palume küsimuste korral pöörduda otse Allium UPI (www.allium.upi.ee) ja tema poolt hallatava ühtse kliendi lojaalsusprogrammi ettevõtete Apotheka (www.apotheka.ee), Apotheka Beauty (www.apothekabeauty.ee) või PetCity (www.petcity.ee) poole.

Olgu allpool ära toodud Apotheka kiri oma klientidele seoses insidendiga:

Hea klient!

Soovime Teid teavitada juhtumist seoses Apotheka kliendikaardi andmetega. Teatud osa Teie isikuandmeid, mida on Apotheka kliendikaardi programmi raames kogutud kuni 2020. a veebruari lõpuni, võivad olla jõudnud küberrünnaku tagajärjel kolmandate isikuteni, kellel ei tohiks neile andmetele ligipääsu olla.

Küberrünnak toimus programmi haldaja, Allium UPI OÜ, vastu, kes pakub Apotheka apteekidele ja teistele koostööpartneritele (Apteegi Beauty OÜ, PetCity OÜ) ühtset lojaalsusprogrammi. Me võtsime koheselt meetmed, et piirata kuriteo ulatust. Küberrünne on peatatud, kuid isikuandmete koopiad on tõenäoliselt jätkuvalt ründaja valduses. Politsei on küberründe korraldajate suhtes läbi viimas kriminaalmenetlust. Andmekaitse Inspektsioon on juhtunust teadlik ja läbi viimas järelevalvemenetlust.

Ründaja sai Allium UPI OÜ süsteemidesse sisse käesoleva aasta jaanuaris ning laadis alla kuni 2020. aasta veebruari lõpuni kliendiprogrammiga liitunute erinevaid andmeid, sh kliendi mitteravimite ja mõnel üksikul juhul ka käsimüügiravimite ostuajalugu kuni 2020. a. veebruari lõpuni. Teadaolevalt ei ole kurjategija valdusesse sattunud hilisemate (2020 veebruari lõpp - 2024) tehingute andmed ja mitte ühegi sel perioodil liitunud uue kliendi andmed. Tahame rõhutada, et sisemisi andmebaase ja süsteeme ei rikutud ja viimaste aastate ostudega seonduvad ja muud kliendiandmed on turvaliselt hoitud.

Küberründe käigus kurjategijale ligipääsetud andmete hulgas on lisaks nimele, e-posti aadressile, telefonile, isikukoodile või sünniajale, finantsandmed, mis puudutavad üksnes a-raha jääki, ostusummat ning ostudelt saadud allahindlust. Pangakaardi andmed, paroolid ja muud finantsandmed ei kuulu kliendiprogrammis talletamisele ja seega ei olnud kurjategijatele kättesaadavad.Ostuajaloo andmete koosseisus ei koguta konkreetsete ravimite, sh retseptiravimite, käsimüügiravimite ja riiklike soodustustega mitteravimite ostude infot. Siiski on vähese osa klientide ostuajaloos erandlikel juhtudel salvestunud info mõningate ostetud käsimüügiravimite kohta.  

Ostuajaloos on nähtavad muude apteegikaupade nimetused, kuid mis võivad samuti anda teavet Teie tervisesisundi kohta. Osade klientide kohta on varastatud andmete hulgas ka aadressi andmed.

Kuivõrd on teadmata, millised plaanid kurjategijal saadud isikuandmetega on, palume olla erakordselt tähelepanelikud Teile saadetavate erinevate e-kirjade sisu osas, kus saatjaks on Apotheka´t, Apotheka Beauty´t, PetCity´t jäljendav kolmas isik ja kirja sisu puudutab Teie terviseandmeid. Veenduge, et e-kirja saatja on apotheka.ee, apothekabeauty.ee või petcity.ee. Enne, kui olete veendunud kirja päritolus ja tõesuses, ärge klikkige ühelgi veebilingil ega avage kirja manuseid.

Kui saate väljapressiva sisuga pöördumisi, sh kõnesid, võtke esimesel võimalusel ühendust politseiga ja järgige politseilt saadud juhiseid.

Kui soovite täpsemat infot oma kliendikaardiga seotud andmete kohta, saatke palun digitaalselt allkirjastatud taotlus aadressile andmekaitse@allium.upi.ee. Vastused saadame taotlejale krüpteeritult. Vastame Teie taotlusele esimesel võimalusel, kuid hiljemalt ühe kuu jooksul. Kui Teil ei ole digitaalse allkirjastamise ja dekrüpteerimise võimalust, võtke ühendust eeltoodud e-posti aadressil või telefoni teel 6 530 750 ja anname Teile juhised toimimiseks.

Teema: Turvaauk, Küberturvalisus