Kā EstateGuru aizsargā tavus datus

How EstateGuru protects your data

Pēc jaunākā datu pārkāpuma, kurā no automašīnu koplietošanas lietotnes CityBee tika nopludināta informācija no 110 000 lietotāju kontiem, mēs uzskatām, ka ir piemērots laiks atgādināt mūsu lietotājiem, kā aizsargājam tavus datus.

Uzņēmumā EstateGuru izmantojam holistisku pieeju datu aizsardzībai, kas nozīmē, ka veidojam vairākus drošības līmeņus.

Mēs nodrošinām, ka visi izmantotie lietotājvārdi ir unikāli. Tavs lietotājvārds ir zināms arī kā EG kods, un tajā nav tava vārda vai citas personiskas informācijas. Turklāt iesakām lietotājiem izmantot drošu autentifikāciju, kur vien iespējams, t.i., Smart ID, mobilo ID, digitālo ID utt.

Visas mūsu lietotāju paroles ir šifrētas, un piedāvājam arī iespēju izmantot divu faktoru autentifikāciju visām kritiskajām darbībām, piemēram, ieguldījumu veikšanai, naudas izņemšanai u.c. Lai gan tas var nedaudz palēnināt procesu un būt nedaudz sarežģītāk, tas noteikti ir tā vērts tavam sirdsmieram.

Noteikti jau pamanīji, ka par katru darbību tavā kontā mēs informējam arī e-pastā. Dažiem cilvēkiem tas var šķist kā “surogātpasts”, bet tā ir lieliska pirmās kārtas aizsardzība. Galu galā tu būsi pirmais, kurš pamanīs darbības, ko pats neuzsāki.

Mūsu komanda pastāvīgi uzrauga visus kontus, lai konstatētu iespējamos kiberuzbrukums, piemēram, neierastas izmaksas vai ieguldījumu modeļus, un rīkojamies nekavējoties, kad pamanām kaut ko aizdomīgu.

Mūsu politika attiecībā uz lietotāju un kontu verifikāciju ir stingra, un atsakāmies šo procesu atvieglot. Lai gan arī saņemam sūdzības par to, cik tas ir neērti, mēs uzskatām, ka labāk aizsargājam savus lietotājus un viņu līdzekļus, nevis ļaujam izmantot īsceļus.

Visi lietotāja dati, piemēram, personu apliecinoši dokumenti, bankas konta informācija utt., tiek glabāti atsevišķi no faktiskā konta, un pašiem lietotājiem nav piekļuves šiem dokumentiem un informācijai.

Mums ir stingra iekšējā piekļuves politika mākoņu serveriem, un mūsu Back-Office lietotāju piekļuve ir ārkārtīgi ierobežota.

Kopumā mums ir piecu pakāpju drošības sistēma:

  1. Pievienošanās – reģistrēšanās un verifikācija.
  2. Konta izmantošna – pastāvīgi paziņojumi, kad ieguldi, izņem, vai veic citas darbības ar līdzekļiem savā investora vai aizņēmēja kontā.
  3. Darbību autentifikācija un apstiprināšana.
  4. Tehniskie drošības pasākumi datu aizsardzībai
  5. EG operatīvā drošība (ierobežota piekļuve datiem un darbībām ar tiem)

Atšķirības starp EstateGuru un CityBee

Pēc CityBee datu noplūdes gadījuma daudzi investori sazinājās ar mums, paužot raizes par iespējau, ka līdzīga situācija varētu atgadīties arī ar EstateGuru datiem.

Pirmkārt, salīdzināt mūsu drošības pasākumus ar tiem, kurus nodrošina CityBee, ir līdzīgi kā salīdzināt ābolus un apelsīnus, bet tomēr centīsimies to izdarīt.

CityBee datu noplūde notika tāpēc, ka klientu datu bāze tika glabāta nenodrošinātā Microsoft Azure blob krātuvē. Hakeris pēc tam izmantoja Rapid7 Open Data Forward DNS rīku, lai meklētu atgriezto DNS meklēšanu, pēc kura izmantoja uzbrukumu, lai uzskaitītu krātuvē esošos datus, un pēc tam tos lejupielādēja. Galvenās bažas rada arī tas, ka šī uzlaušana notika 2018. gadā, un CityBee par to nezināja līdz pat 2021. gada februārim, kad informācija tika nodota pārdošanai.

Mūsu dati netiek glabāti tādā veidā. Estateguru IT iformācija tiek glabāta drošos serveros un mēs rūpīgi sekojam līdzi pakalpojumu sniedzēju ierosinātajiem drošības mehānismiem.

Galvenā atšķirība ir datu pārvaldība. Hakeri ļoti reti izmanto tehniskos trūkumus. Viņi tiecās pēc kļūdainas darbības, ko radījusi slikta datu pārvaldība.

CityBee lietotāju paroles aizsargāja novecojis un vājš SHA1 algoritms.

Mūsu drošības sistēmas tiek pastāvīgi pārskatītas un atjauninātas, nodrošinot, ka izmantojam tikai visjaunākos rīkus. Piemēram, mūsu paroļu jaukšanas sistēma ir vairāku punktu drošāka nekā CityBee izmantotā sistēma.

Galvenokārt, tas viss ir atkarīgs no cilvēka pūlēm. Datu drošības vissvarīgākā daļa ir pastāvīga uzraudzība, ko CityBee, šķiet, nav izdarījis, taču mēs to izpildām. Ir izveidotas agrīnās brīdināšanas sistēmas, lai noķertu jebkuru iespējamo uzbrukumu un bloķētu to vēl pirms tā realizēšanas.

Mēs turpināsim aizsargāt tavus datus un nodrošināt drošu ieguldījumu vidi.