Registrų centras: nutekėjo 600 000 įrašų — ir kaip to išvengti jūsų serveryje
Registrų centras: nutekėjo 600 000 įrašų — ir kaip to išvengti jūsų serveryje
Nuo 2026 m. sausio iki balandžio iš Lietuvos nekilnojamojo turto registro buvo pavogta daugiau nei 600 000 įrašų: asmens kodai, adresai, duomenys apie valdomą turtą. Registrų centras — centrinė valstybės registro įmonė, tvarkanti nekilnojamojo turto, juridinių asmenų ir gyventojų duomenis. Nutekėjimą pastebėjo ne monitoringo sistema, ne CERT, ne saugumo tarnyba — jį užfiksavo Neringos meras Darius Jasaitis. Registrų centras suteikia kiekvienam piliečiui galimybę patikrinti, kas ir kada kreipėsi į jo duomenis registre. Vasario 18-ąją Jasaitis pasinaudojo šia funkcija — ir tarp įprastų įrašų (notarai, žurnalistai) pamatė prisijungimus iš Vidaus reikalų ministerijos ne darbo valandomis. Tai pasirodė keista: kodėl VRM domisi jo nekilnojamuoju turtu, dar ir naktį? Meras kreipėsi į institucijas su klausimu. Jokio atsakymo nesulaukė. Duomenys toliau nutekėjo dar du mėnesius.
Mastas ir pasekmės pasirodė rimtos. Registrų centro direktorius Adrijus Jusas paliko pareigas praėjus trims dienoms po viešo incidento atskleidimo. Generalinė prokuratūra pradėjo ikiteisminį tyrimą. NKSC incidentą priskyrė didelių kategorijai ir paskelbė auditą. Prezidento patarėjas nacionalinio saugumo klausimais taikytą apsaugą pavadino „visiškai neefektyvia”. Ataka, kaip manoma, buvo organizuota iš užsienio valstybės — oficialios atribucijos kol kas nėra, tyrimas tęsiasi.
KAIP ATAKA BUVO ĮVYKDYTA
Ataka buvo paprasta ir veiksminga kaip tik todėl, kad nereikalavo jokio techninio sudėtingumo. Užpuolikai gavo dviejų Migracijos departamento darbuotojų prisijungimo vardus ir slaptažodžius — tikėtina, per jų asmeninių el. pašto paskyrų kompromitavimą. Migracijos departamento direktorė Indrė Gasperė spaudos konferencijoje patvirtino: prie Registrų centro buvo jungtasi naudojant tikrus departamento darbuotojų el. pašto adresus ir slaptažodžius. Ar slaptažodžiai buvo prarasti pačių darbuotojų aplaidumu, ar pavogti kitu būdu — tyrimas dar nustato.
Toliau viskas vyko mechaniškai. Registrų centras suteikia API prieigą prie savo registrų daugiau nei 20 000 naudotojų iš valstybinių institucijų, notarų, žurnalistų. Autentifikacija — tik prisijungimo vardas ir slaptažodis, kuris privalomas keisti kas tris mėnesius. MFA nebuvo. Turėdami dviejų Migracijos departamento darbuotojų prisijungimo duomenis, užpuolikai jungėsi kaip teisėti naudotojai ir metodiškai siuntėsi nekilnojamojo turto registro įrašus — naktimis, savaitgaliais, grįždami prie tų pačių objektų kelis kartus. Vasario mėnesio duomenys apie vieną objektą, balandžio — apie kitą. Keturi mėnesiai.
Migracijos departamento sistemos, paties departamento teigimu, nebuvo įsilaužtos — užpuolikai tiesiog naudojo pavogtus prisijungimo duomenis tiesioginiam prisijungimui prie Registrų centro API, aplenkdami šaltinio sistemas. Tai svarbi detalė: nusikaltėliai nieko neįsilaužė įprastine prasme. Jie įėjo pro pagrindinį įėjimą su svetimu raktu.
LAIKO JUOSTA
2026 m. sausis — pirmieji neteisėti prisijungimai prie Registrų centro API naudojant Migracijos departamento darbuotojų prisijungimo duomenis. 2026 m. vasaris — Neringos meras Darius Jasaitis tikrina savo duomenų užklausų istoriją registre ir aptinka prisijungimus iš Vidaus reikalų ministerijos ne darbo valandomis. Kreipiasi į institucijas. Atsakymo nėra.
2026 m. balandis — Registrų centras pagaliau fiksuoja nutekėjimą, blokuoja sukompromituotas paskyras ir perduoda informaciją teisėsaugai bei Nacionaliniam kibernetinio saugumo centrui (NKSC). Priimamas sprendimas gyventojų neinformuoti, kol bus išaiškintos aplinkybės. 2026 m. gegužė — portalas 15min pateikia klausimus Registrų centrui, po to įmonė patvirtina incidentą. Generalinė prokuratūra iškart paskelbia ikiteisminį tyrimą. Gyventojams suteikiama galimybė patikrinti, ar jų duomenys buvo paveikti.
Rezultatas: nutekėjimas truko apie keturis mėnesius. Gyventojai nebuvo informuoti apie du mėnesius po to, kai Registrų centras pats sužinojo apie nutekėjimą. Direktorius paliko pareigas praėjus trims dienoms po viešo atskleidimo.
KODĖL TAI SVARBU
Asmens kodas Lietuvoje — tai ne tik skaičiai. Jis naudojamas visur: bankinė identifikacija, valstybiniai portalai, medicininiai įrašai, notarinės operacijos. Užpuolikai gavo vardus, pavardes, asmens kodus, gimimo datas, adresus ir duomenis apie nekilnojamąjį turtą — pakankamai, kad įtikinamai apsimestų bet kuriuo asmeniu oficialiuose pranešimuose arba nustatytų jo fizinę buvimo vietą. Paprastam piliečiui tai nemalonus nutekėjimas. Tam tikroms žmonių kategorijoms — tai grėsmė fiziniam saugumui.
Prieigos mastas problemą daro sisteminę. 20 000 naudotojų su tiesiogine API prieiga prie valstybinių registrų, autentifikuotų tik slaptažodžiu — tai ne viena pažeidžiamoji vieta, tai 20 000 potencialių įėjimo taškų. Nereikia tiesiogiai pulti Registrų centro — pakanka sukompromituoti bet kurią iš prijungtų institucijų. Būtent tai ir atsitiko: užpuolikai neprisilietė prie centrinės sistemos, jie įėjo pro šoninį įėjimą, kurio niekas nesaugojo.
Ir galiausiai — reakcija. Pirmasis signalas pasirodė vasarį, iš piliečio, o ne iš monitoringo sistemos. Jokios reakcijos nesulaukta. Duomenys nutekėjo dar du mėnesius. Kai Registrų centras balandį pagaliau užfiksavo incidentą — gyventojų nebuvo informuojama dar du mėnesius, remiantis būtinybe patikrinti aplinkybes. BDAR reikalauja informuoti priežiūros instituciją per 72 valandas nuo pažeidimo aptikimo. Praėjo apie du mėnesiai.
KAIP TO IŠVENGTI
Šis incidentas nagrinėjamas ne todėl, kad ataka buvo sudėtinga — ji buvo elementari. Nagrinėjamas todėl, kad kiekvienas iš gedimų, kurie ją padarė įmanomą, pasitaiko pusėje korporatyvinių ir valstybinių sistemų dabar pat.
Pradėti reikia nuo MFA. Slaptažodis, keičiamas kas tris mėnesius, saugo tiksliai iki to momento, kai jis pavogtas. Po vagystės užpuolikas turi iki trijų mėnesių teisėtos prieigos — būtent tai ir nutiko. MFA šį scenarijų visiškai uždaro: pavogtas slaptažodis be antrojo faktoriaus nenaudingas. API su prieiga prie piliečių asmens duomenų MFA turi būti ne parinktis, o privaloma prisijungimo sąlyga. Be išimčių „vidinėms” institucijoms — nes būtent jos ir tapo atakos vektoriumi. Svarbi pastaba: nedideliam asmeniniam serveriui, kur SSH veikia tik su raktais, tai jau geras apsaugos lygis. MFA tampa privalomas ten, kur naudotojų daug, jie iš skirtingų organizacijų ir niekas nekontroliuoja, kaip kiekvienas iš jų saugo savo prisijungimo duomenis. Tokia ir buvo Registrų centro architektūra — 20 000 naudotojų iš dešimčių institucijų ir nė vieno antrojo faktoriaus.
Toliau — elgsenos monitoringas. Valstybinė institucija šeštadienio naktį siunčia tūkstančius užklausų į nekilnojamojo turto registrą — tai nėra norma. Toks modelis turi automatiškai sukelti įspėjimą ir sesijos blokavimą iki išaiškinimo. Registrų centro žurnalai buvo vedami — piliečiai galėjo tikrinti savo duomenų užklausų istoriją, vadinasi, duomenys buvo rašomi. Tačiau niekas jų nestebėjo realiu laiku. Audito žurnalas be monitoringo — tai archyvas posmrtiniam tyrimui, o ne apsaugos priemonė. Skirtumas tarp šių dviejų dalykų — keturi nutekėjimo mėnesiai.
Atskira istorija — rate limiting. 600 000 įrašų per keturis mėnesius — tai tūkstančiai užklausų. Notaras užklausia konkretų objektą kliento reikalu. Žurnalistas — kelis objektus straipsniui. Nė vienas teisėtas naudotojas nemassiškai siuntinėja viso registro. Užklausų skaičiaus limitas per sesiją ar per dieną — elementari kontrolė, kuri fiziškai riboja žalą net ir visiškai sukompromituotos paskyros atveju. Jo nebuvo.
Ir galiausiai — minimalių privilegijų principas. 20 000 naudotojų su prieiga prie nekilnojamojo turto registro — tai ne architektūrinis sprendimas, tai jo nebuvimas. Migracijos departamento darbuotojui reikia prieigos prie konkrečių migrantų duomenų, o ne viso šalies nekilnojamojo turto registro. Notarui — prie konkretaus objekto pagal užklausą, o ne visos duomenų bazės. Granuliarinės teisės pagal roles ir institucijas sumažintų galimą nutekėjimo mastą kelis kartus — net jei visos kitos kontrolės būtų žlugusios.
KĄ DARYTI
Jei administruojate sistemas su API prieiga prie asmens duomenų — patikrinkite šiuos dalykus dabar pat. Ar MFA įjungtas visiems išoriniams naudotojams? Ar yra įspėjimai apie prisijungimus ne darbo valandomis? Ar yra rate limiting užklausų skaičiui per sesiją? Kada paskutinį kartą buvo atliktas aktyvių paskyrų ir jų privilegijų auditas?
Pirmiausia patikrinkite SSH — ar sukonfigūruotas MFA arba bent ar slaptažodžiai išjungti:
# Patikrinti, kad slaptažodžiai išjungti ir veikia tik raktu pagrįsta autentifikacija
grep "PasswordAuthentication\|PubkeyAuthentication\|AuthenticationMethods" /etc/ssh/sshd_config
# Laukiamas rezultatas:
# PasswordAuthentication no
# PubkeyAuthentication yes
Jei slaptažodžiai neišjungti — tai pirmasis dalykas, kurį reikia taisyti. Jei norite pridėti antrąjį faktorių virš raktų — įdiekite libpam-google-authenticator ir nustatykite AuthenticationMethods publickey,keyboard-interactive faile sshd_config. Pavogtas raktas be TOTP kodo nenaudingas — būtent to trūko Migracijos departamento darbuotojams.
Lietuvos piliečiams pirmasis žingsnis — patikrinti, ar jūsų duomenys pateko į nutekėjimą. Registrų centras atvėrė galimybę patikrinti užklausų istoriją savo duomenims per savitarnos sistemą adresu registrucentras.lt — tam reikalinga elektroninė identifikacija. Jei istorijoje matomi prisijungimai iš nepažįstamų institucijų ne darbo valandomis — jūsų duomenys greičiausiai buvo tarp paveiktų. Būtent taip nutekėjimą pastebėjo Neringos meras.
Svarbu tiksliai suprasti, kas nutekėjo. Pagal oficialų Registrų centro pareiškimą, atskleisti tik nekilnojamojo turto registro išrašuose esantys duomenys: vardas, pavardė, asmens kodas, gimimo data, adresas, duomenys apie nekilnojamojo turto objektus. Telefonai, el. paštas, banko sąskaitos, mokėjimų duomenys, teismų sprendimai ir kadastriniai dokumentai — nepaveikti. ESET ekspertas Ramūnas Liubertas LRT komentare patikslino: turėdamas tik vardą, pavardę ir asmens kodą, sukčius paskolos paimti negalės. Tačiau asmens kodas kartu su adresu ir nekilnojamojo turto duomenimis jau pakanka įtikinamai socialinei inžinerijai.
Pagrindinė grėsmė paprastam žmogui — socialinė inžinerija. Mechanika paprasta: sukčius skambina arba rašo, išvardija jūsų vardą, asmens kodą, tikslų adresą ir nekilnojamojo turto objektą — ir tuo sukuria įspūdį, kad jis „saviškis”, kad jis iš oficialios struktūros, kad jam galima pasitikėti. Anksčiau tokias detales žinojote tik jūs patys ir valstybinės institucijos. Dabar — visi, kurie turi šią duomenų bazę.
Štai kaip tai atrodo praktikoje. Skambutis: „Laba diena, skambina Swedbank, fiksuojame įtartiną aktyvumą jūsų sąskaitoje. Patvirtinimui nurodykite interneto banko slaptažodį” — ir tuo pačiu nurodo jūsų tikslų adresą, kad patikėtumėte jog tai tikrai bankas. Arba laiškas iš „notaro” su jūsų asmens kodu ir objekto adresu: „Reikalingas jūsų dalyvavimas nekilnojamojo turto sandoryje adresu X” — su prašymu pereiti nuorodą ir patvirtinti tapatybę. Arba žinutė iš „Valstybinė mokesčių inspekcija” su tiksliais duomenimis apie jūsų turtą: „Nustatyta skola, sumokėkite per 24 valandas, kad išvengtumėte baudos.”
Visuose šiuose scenarijuose asmens duomenys naudojami ne tiesioginei vagystei — o pasitikėjimui sukurti, po kurio auka pati perduoda tai, ko reikia: slaptažodį, patvirtinimo kodą, pinigus. Tai ir yra socialinė inžinerija — žmogaus manipuliacija, o ne sistemos įsilaužimas.
Paprasta apsaugos taisyklė: bet koks gautas kontaktas, kuris naudoja jūsų asmens duomenis savo legitimumui įrodyti — tai pavojaus signalas, o ne pasitikėjimo ženklas. Tikras bankas pats pirmasis neskambina ir neprašo slaptažodžio ar patvirtinimo kodo. Tikra mokesčių inspekcija siunčia oficialius laiškus per portalus su elektroniniu parašu, o ne SMS su nuorodomis. Jei abejojate — padėkite ragelį ir paskambinkite institucijai patys oficialiu numeriu iš jų svetainės.
Sisteminiu lygmeniu šis incidentas turėtų tapti postūmiu peržiūrėti prieigos architektūrą visuose valstybiniuose registruose — ne tik Lietuvoje. Federated identity su MFA, elgsenos monitoringas, rate limiting, granuliarinės teisės pagal roles — tai ne pažangios technologijos, tai bazinė higiena 2026 metais. Tai, kad 20 000 naudotojų turėjo prieigą prie jautrių duomenų tik su slaptažodžiu — tai ne technologinė skola, tai architektūrinis sprendimas, kurį reikia peržiūrėti.
Jei administruojate servisą su API prieiga prie duomenų — štai konkretūs pavyzdžiai to, kas turi būti sukonfigūruota dabar pat.
Rate limiting nginx konfigūracijoje: užklausų skaičiaus apribojimas prie API galinio taško pagal IP ir autentifikuotą naudotoją. Be šios kontrolės užpuolikas su galiojančiais prisijungimo duomenimis gali siųstis duomenis tinklo greičiu:
# Rate limiting zona — 100 užklausų per minutę vienam naudotojui
limit_req_zone $http_authorization zone=api_user:10m rate=100r/m;
server {
location /api/ {
limit_req zone=api_user burst=20 nodelay;
limit_req_status 429;
# Limito viršijimus žurnalizuoti atskirai įspėjimams
access_log /var/log/nginx/api_ratelimit.log combined;
}
}
Anomalijų stebėjimas nginx žurnaluose — paskyrų su įtartinai dideliu užklausų skaičiumi paieška:
# Top 10 IP pagal užklausų skaičių paskutinėse 1000 eilučių
tail -1000 /var/log/nginx/access.log | awk '{print $1}' | \
sort | uniq -c | sort -rn | head -10
# Užklausos ne darbo valandomis (22:00 - 06:00)
grep -E ' (2[2-9]|0[0-6]):[0-9]{2}:[0-9]{2} ' /var/log/nginx/access.log | \
awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20
Blokavimas nftables po rate limiting viršijimo — automatinė reakcija į anomalų aktyvumą. nginx + fail2ban + nftables grandinė uždaro scenarijų, kai rate limit suveikė, bet užklausos iš to paties IP tęsiasi:
# /etc/fail2ban/filter.d/nginx-api-ratelimit.conf
[Definition]
failregex = ^<HOST> - - \[.*\] "GET /api/.*" 429
# /etc/fail2ban/jail.d/nginx-api.conf
[nginx-api-ratelimit]
enabled = true
port = http,https
filter = nginx-api-ratelimit
logpath = /var/log/nginx/api_ratelimit.log
maxretry = 10
findtime = 60
bantime = 3600
action = nftables-multiport[name=nginx-api, port="http,https"]
Audito žurnalizavimas jautrių failų ir katalogų prieigai per auditd. Registrų centro atveju žurnalai buvo vedami, tačiau niekas jų nestebėjo realiu laiku — auditd su tinkamomis taisyklėmis suaktyvina įspėjimą iš karto:
# Prieigos prie naudotojų duomenų katalogo stebėjimas
auditctl -w /var/lib/app/userdata/ -p rwxa -k userdata_access
# Masinio failų skaitymo vieno proceso stebėjimas
auditctl -a always,exit -F arch=b64 -S open,openat -F dir=/var/lib/app/userdata/ \
-F success=1 -k bulk_read
# Įspėjimų peržiūra realiu laiku
ausearch -k userdata_access --start today | aureport -f -i
# Procesai pagal prieigų prie duomenų skaičių šiandien
ausearch -k bulk_read --start today | awk -F'comm=' '/comm=/{print $2}' | \
awk '{print $1}' | sort | uniq -c | sort -rn
Greita aktyvių sesijų ir neįprastų prisijungimų patikra dabar pat:
# Aktyvūs ryšiai pagal skaičių IP — neįprastai didelis skaičius įtartinas
ss -tn state established | awk '{print $5}' | cut -d: -f1 | \
sort | uniq -c | sort -rn | head -20
# Ryšiai prie API prievado iš išorinių IP (pavyzdys prievadui 8443)
ss -tnp | grep ':8443' | awk '{print $5}' | cut -d: -f1 | \
sort -u
# Paskutiniai 50 unikalių IP prisijungusių prie API
awk '{print $1}' /var/log/nginx/access.log | \
sort -u | tail -50
KAS VYKSTA TOLIAU
Incidentas neužbaigtas — jis tik plėtojasi. NKSC paskelbė Registrų centro kibernetinio saugumo auditą, siekdamas nustatyti tikslų nutekėjimo mechanizmą ir ko reikia keisti. Ekonomikos ir inovacijų ministerija, kuri yra Registrų centro savininkė, paskelbė konkursą naujam direktoriui — aiškiai nurodydama, kad kibernetinis saugumas dabar yra pagrindinis prioritetas. Valstybinė duomenų apsaugos inspekcija (VDAI) jau pareiškė, kad bauda įmonei gali siekti 60 000 eurų pagal BDAR — už pavėluotą nukentėjusių gyventojų informavimą. Generalinė prokuratūra tęsia tyrimą, detalės saugomos ikiteisminio tyrimo paslapties.
Atskiras klausimas, kuris daugeliui rūpi: ar galima pakeisti asmens kodą? Oficialus atsakymas — ne. Registrų centro atstovas Mindaugas Samkus LRT komentare aiškiai pasakė: asmens kodo suteikimą reglamentuoja teisės aktai ir pilietis negali jo tiesiog pasikeisti kaip slaptažodžio. Tai nutekėjimą daro iš esmės kitokio pobūdžio: sukompromituotas slaptažodis pasikeičiamas per minutę, sukompromituotas identifikatorius lieka su žmogumi amžinai. Būtent todėl informuotumas apie socialinę inžineriją nukentėjusiems piliečiams yra svarbesnis nei bet koks techninis sprendimas.
Lietuva šiame incidente nėra išimtis — ji yra sisteminės Europos problemos dalis. Valstybiniai registrai su plačia API prieiga, silpna autentifikacija ir nepakankamu stebėjimu buvo puolami ir kitose šalyse. Principinis skirtumas yra tas, kad šiuo atveju vektoriumi tapo ne kodo pažeidžiamumas ir ne tiesioginis įsilaužimas — o gretimos institucijos prisijungimo duomenų kompromitavimas. Tai reiškia, kad bet kuri valstybinė sistema su dešimtimis tūkstančių išorinių naudotojų turi tą patį pavojų, jei nenaudoja MFA ir elgsenos monitoringo. Registrų centro incidentas — tai įspėjimas kiekvienam valstybiniam registrui Europoje.
KAIP TO IŠVENGTI JŪSŲ SERVERYJE
Registrų centras — valstybinis registras, tačiau pažeidžiamybės, lėmusios nutekėjimą, pasitaiko bet kuriame serveryje su API prieiga prie duomenų. Štai trys lygmenys, kuriuose reikia sukurti apsaugą.
Procesų lygmuo — organizacija, o ne tik technologijos. Techninės kontrolės be procesų neveikia. Konkrečiai: nustatykite, kas gauna įspėjimus iš fail2ban ir auditd — ir įsitikinkite, kad tas žmogus juos iš tikrųjų skaito, o ne tik turi prieigą prie pašto. Nustatykite reguliarų prieigų peržiūrą — kas ketvirtį patikrinkite, kas turi API prieigą, ar nėra seniai išėjusių darbuotojų su aktyviomis paskyromis, ar nepasikeitė naudotojų rolės. Dokumentuokite incidento reagavimo planą: ką daryti per pirmąsias 30 minučių aptikus anomaliją, ką informuoti, kada blokuoti prieigą. Registrų centre pirmasis signalas atėjo vasarį — ir dingo niekur būtent todėl, kad nebuvo tokių signalų apdorojimo proceso.
Architektūros lygmuo — Zero Trust tarpusistemei prieigai. Principas „vidinė tinklas — patikima zona” pasenęs. Kai 20 000 naudotojų iš dešimčių institucijų turi tiesioginę API prieigą per slaptažodį — tai ne vidinis tinklas, tai viešoji sąsaja su izoliacijos iliuzija. Teisinga architektūra: federated identity per centrinį tapatybės tiekėją (Keycloak ar analogą), kur kiekviena institucija autentifikuojasi per savo IdP, o ne per tiesioginius prisijungimo duomenis. Prieiga suteikiama scopes lygmeniu — konkretūs veiksmai konkrečioms rolėms, ne bendra prieiga prie registro. Tarp sistemų — trumpalaikiai tokenai su automatiniu keitimu, ne ilgalaikiai slaptažodžiai. Tai Zero Trust praktikoje: niekuo nepasitikėk pagal nutylėjimą, tikrink kiekvieną užklausą.
Kontrolinis sąrašas prieš paleidžiant API su prieiga prie asmens duomenų. Jei diegiate ar audituojate tokį servisą — patikrinkite šiuos punktus:
- MFA įjungtas visiems naudotojams — ne tik administratoriams
- Slaptažodžiai išjungti ten, kur naudojami raktai arba tokenai
- Rate limiting sukonfigūruotas — užklausų limitai naudotojui ir IP
- Audito žurnalizavimas įjungtas su įspėjimais anomalių modelių atveju
- Minimalių privilegijų principas taikytas — kiekviena rolė pasiekia tik tai, ko reikia
- Ne darbo valandų stebėjimas — užklausos 2 valandą nakties turi sukelti įspėjimą
- Prieigų peržiūros procedūra dokumentuota ir vykdoma pagal grafiką
- Incidento reagavimo planas egzistuoja ir žinomas komandai
- Įspėjimų pristatymas išbandytas — įsitikinkite, kad įspėjimai pasiekia reikiamus žmones
Nė vienas iš šių punktų nereikalauja brangių sprendimų. Kiekvienas iš jų Registrų centre buvo praleistas — ir būtent todėl nutekėjimas tęsėsi keturis mėnesius.
IŠVADOS
Registrų centro įsilaužimas — tai ne istorija apie sudėtingą APT ataką su nulinės dienos išnaudojimais. Tai istorija apie pavogtą slaptažodį, MFA nebuvimą ir monitoringą, kuris neveikė. Užpuolikai nieko neįsilaužė — jie įėjo pro pagrindinį įėjimą su svetimu raktu ir keturis mėnesius metodiškai vežė duomenis. Sistema nepastebėjo. Pirmasis pastebėjo pilietis.
Nepatogiausias šio incidento rezultatas: 600 000 lietuvių asmens kodai dabar svetimose rankose amžinai. Jo negalima pakeisti kaip slaptažodžio. Nekilnojamojo turto duomenys nepasikeis. Tai ilgalaikis išteklius tiems, kas jį gavo — nesvarbu, sukčiai tai ar žvalgyba.
Visiems, kas administruoja sistemas su prieiga prie asmens duomenų — šis atvejis vertas išspausdinti ir prisegti virš monitoriaus. Ne kaip bauginimą, o kaip kontrolinį sąrašą to, kas turi būti įjungta pagal nutylėjimą: MFA, anomalijų aptikimas, rate limiting, minimalios privilegijos, audito žurnalas su įspėjimais. Kiekviena iš šių kontrolių viena pati galėjo sustabdyti ataką.
ATNAUJINIMAI
2026 m. birželio 2 d. Registrų centras oficialiai pareiškė, kad įmonė pati neanalizavo nutekėjimo — netyrinėjo, kokie konkretūs duomenys buvo pavogti. Visa informacija perduota Generalinei prokuratūrai. Atstovas Mindaugas Samkus: „Registrų centras neanalizavo jokių dėl šio incidento atskleistų duomenų. Visą turimą informaciją perdavėme teisėsaugos institucijoms.”
2026 m. birželio 2 d. Ekonomikos ir inovacijų ministras Edvinas Grikšas Seime pareiškė, kad incidentas — ne vienkartinis gedimas, o daugelį metų kauptų finansinių, technologinių ir valdysenos problemų rezultatas: „Signalai apie augančias rizikas valstybės informacinių išteklių ir duomenų saugumo srityje buvo matomi ir pristatyti jau seniai.” Anot jo, IT problemos valstybiniame sektoriuje buvo sprendžiamos tik tada, kai situacija tapdavo krizine.
2026 m. birželio 5 d. Registrų centras paskelbė oficialią incidento chronologiją. Pažeidimas oficialiai klasifikuotas kaip asmens duomenų apsaugos pažeidimas gegužės 7 d. — iki tol įmonė rinko atsakymus iš valstybinių institucijų aplinkybėms nustatyti. Tą pačią dieną apie tai buvo pranešta VDAI. Generalinė prokuratūra pradėjo ikiteisminį tyrimą balandžio 15 d. ir leido viešai pranešti tik gegužės 22 d. — iki tol visi proceso dalyviai privalėjo laikytis komunikacijos apribojimų. VDAI vertinimu, nutekėjo šiek tiek daugiau nei 600 000 išrašų, tačiau nukentėjusių piliečių — apie 500 000, nes dalis jų figūruoja keliuose išrašuose. Preliminari žala vertinama ne mažiau kaip 111 000 eurų.
2026 m. birželio 5 d. TV3 ir LRT duomenimis, ataką pirmoji aptiko ne monitoringo sistema ir ne Neringos meras — o privati finansinių paslaugų grupė. Jos atstovai kreipėsi į teisėsaugą pastebėję, kad naktimis ir savaitgaliais kažkas iš VRM struktūrų tikrina jų vadovų ir šeimos narių asmens duomenis, domisi jų nekilnojamuoju turtu. Būtent šis kreipimasis paskatino oficialaus tyrimo pradžią balandį. Neringos meras Darius Jasaitis apie anomaliją pranešė dar vasarį — tačiau tada jo niekas neišgirdo. Taip pat patvirtinta: buvo naudojama vieno Migracijos departamento darbuotojo paskyra, o ne kelių, kaip buvo pranešta anksčiau.
2026 m. birželio 16 d. Paaiškėjo detalė, paaiškinanti kodėl ataka nebuvo sustabdyta anksčiau. VRM apie įtartiną aktyvumą žinojo dar 2026 m. pradžioje, tačiau kai kreipėsi į Registrų centrą dėl informacijos — šis pareikalavo sumokėti už išrašą. Kaina: 2,64 euro. Vidaus reikalų ministras Vladislavas Kondratovičius Seime: „Aš neturėjau 2,64 euro tuo momentu, tad negalėjau sužinoti, kas naudojasi informacine sistema.” Kai ministerija sumokėjo — Registrų centras nurodė, kuri paskyra buvo perimta, ir nuo to momento prasidėjo vagystės stabdymas. Vėliau Registrų centras VRM išrašė 100 000 eurų sąskaitą už papildomas paslaugas tyrimo metu. Kasčiūnas Seime: „Mes klausėme, ar buvo sukurta struktūra, kuri valdytų krizę. Akivaizdu, kad jokios struktūros net nebuvo planuota kurti.”
2026 m. birželio 19 d. Prezidentas Gitanas Nausėda metiniame pranešime Seimui: „Mažiau nei prieš mėnesį — gerokai per vėlai — visi sužinojome apie Registrų centro duomenų vagystę. Kenkėjiška veikla ne tik nebuvo laiku identifikuota ir sustabdyta, bet ir sukėlė dar didesnį pavojų Lietuvos gyventojams dėl pernelyg lėtos valstybės institucijų reakcijos.” Seimas birželio 19 d. balsavo už laikinosios tyrimo komisijos sudarymą — 61 „už”, 21 „prieš”. Komisija tikrins valstybės registrų duomenų saugumą 2020–2026 metų laikotarpiu.
PS
Šis incidentas aiškiai parodo: taupymas IT saugumo srityje — tai ne taupymas, o atidėta sąskaita, kuri visada ateina su palūkanomis. Gyvename pasaulyje, kuriame pažeidžiamybės aptinkamos kiekvieną dieną. Pataisymai, auditai, monitoringas, MFA — tai ne išlaidos, tai infrastruktūra. Valstybė, kuri taupo savo piliečių duomenų apsaugą, riziką perkelia patiems piliečiams. O kai sąskaita ateina — ją apmoka ne pareigūnai, o 600 000 žmonių, kurių duomenys dabar svetimose rankose amžinai. Simboliška detalė: vagystės nepavyko sustabdyti anksčiau iš dalies todėl, kad viena institucija negalėjo sumokėti kitai 2,64 euro už informaciją apie sukompromituotą paskyrą.
