Líkt og komið hefur fram í fréttum varð Strætó fyrir fjandsamlegri netárás frá erlendum árásaraðilum í lok desember sem náðu að brjóta sér leið inn í kerfi Strætó og afrita gögn og upplýsingar sem þar eru að finna.
Komið hefur í ljós að árásaraðilarnir komust yfir kerfi Strætó sem hýsir gögn er tengjast akstursþjónustu sem Strætó hefur sinnt fyrir hönd tilgreindra sveitarfélaga á tímabilinu 2014-2021. Er tilkynning þessi send út í samvinnu við Garðabæ, Hafnarfjarðarbæ, Kópavogsbæ, Mosfellsbæ, Reykjavíkurborg og Seltjarnarbesbæ.
Þær upplýsingar sem aðgengilegar voru árásaraðilum í tengslum við þessa þjónustu eru eftirfarandi:
- Um notendur þjónustunnar: nafn, kennitala, heimilisfang og eftir atvikum símanúmer og/eða netfang. Upplýsingar um þjónustuþarfir og sérþarfir notenda, upplýsingar um aðstoð fylgdarmanns og notkun hjálpartækja, afrit af ferðapöntunum og reikningum, afrit af erindum og fyrirspurnum auk afrita af tölvupóstsamskiptum, eftir atvikum.
- Um forráðamenn og tengiliði notenda þjónustunnar: nafn, kennitala, símanúmer, netfang og tengsl við notendur auk afrita af erindum, fyrirspurnum og tölvupóstsamskiptum, eftir atvikum. Upplýsingar um hvort viðkomandi skuli hafa aðgang að ferðaupplýsingum notenda.
Viðkomandi árásaraðilar hafa krafið Strætó um greiðslu en hótað því að leka viðkomandi gögnum verði Strætó ekki við kröfum árásaraðilanna. Í samræmi við leiðbeiningar netöryggissveitar Íslands mun Strætó ekki verða við þeim kröfum.
Persónuvernd hefur verið tilkynnt um málið og hafa sveitarfélögin og Strætó verið í miklum samskiptum við stofnunina vegna þessa og haldið henni upplýstri.
Rannsókn málsins stendur enn yfir og gripið hefur verið til umfangsmikilla ráðstafana til að loka á aðgang umræddra aðila og takmarka áhrif á réttindi og frelsi þeirra einstaklinga sem Strætó vinnur upplýsingar um. Má þar nefna lokun á aðgangi tilgreindra IP talna og tilgreindra aðganga að kerfum Strætó sem og endurræsingu á lykilorðum þeirra aðila sem aðgang hafa í kerfi Strætó.
Ekkert bendir til þess að árásaraðilarnir hafi eða geti misnotað þessar upplýsingar, en ekki er hægt að útiloka að upplýsingarnar verði birtar opinberlega af hálfu umræddra aðila.
Strætó harmar að þessi innrás hafi átt sér stað og unnið er hörðum höndum við að klára rannsókn málsins og munu uppfærðar upplýsingar birtast á vefsíðu þjónustunnar, www.pant.is, eftir því sem rannsókninni miðar áfram.
Nánari upplýsingar um öryggisbrest þennan veitir persónuverndarfulltrúi Strætó, í gegnum netfangið personuvernd@straeto.is.