Gdy ja m.in. świętowałem swoje imieniny, niektórzy użytkownicy (klienci, abonenci) BDI Aero2 (Bezpłatny Dostęp do Internetu) nie mieli powodów do radości, bo do ich skrzynek zaczęły napływać informacje o tym, że osoby postronne mogły mieć dostęp do ich danych osobowych.

Informacja o bezpieczeństwie danych osobowych klientów BDI Aero2

Też jestem klientem BDI Aero2, choć raczej nieaktywnym, bo ostatni raz z tej karty korzystałem jeszcze przed wprowadzeniem kodów CAPTCHA czy dodatkowych, komercyjnych pakietów. I wszystkie informacje wskazują na to, że właśnie tu jest źródło problemów – poprzez enumerację (np. zmianę wartości parametru adresu URL na inny, przypisany do innego klienta) można było uzyskać dostęp do danych osobowych użytkowników BDI Aero2, którzy korzystali właśnie z dodatkowo płatnych pakietów.

W komunikacie opublikowanym w internecie (wiadomości e-mail nie dostałem, bo nigdy nie kupowałem żadnych dodatkowych pakietów, a więc moje dane nie wyciekły) możemy przeczytać:

Informujemy, że w dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części klientów usługi Bezpłatnego Dostępu do Internetu. Po weryfikacji zgłoszenia podjęliśmy natychmiastowe działania zapobiegawcze. Po ich zastosowaniu możemy zapewnić, że dane i systemy BDI są bezpieczne.

Dla zapewnienia najwyższego standardu bezpieczeństwa danych klientów podjęliśmy natychmiast odpowiednie działania profilaktyczne i ochronne, w tym m.in. na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenie, które uniemożliwiło ewentualne bezprawne pobieranie danych osobowych klientów, czasowo zablokowano możliwości wyświetlania danych osobowych klientów sklepu Pakiety Aero na koncie po zalogowaniu oraz czasowo zablokowano dostęp do Elektronicznego Biura Obsługi Klienta Aero2 (klienci mieli możliwość dokonania zakupu pakietów poprzez sklep internetowy Aero2 działający pod linkiem: www.sklep.aero2.pl). Obecnie wszystkie serwisy są już aktywne. Podkreślamy również, iż próba nieuprawnionego dostępu nie dotyczyła takich danych, jak: PESEL oraz numer i seria dowodu.

(…)

Ze względu na teleinformatyczny charakter możliwego naruszenia dostępu do danych osobowych dokonaliśmy w dn. 17.03. br, również zgłoszenia incydentu do zespołu reagującego na incydenty sieciowe CERT Polska w NASK,

(…)

Dodatkowo informujemy, że Aero2 skierowało drogą elektroniczną do wszystkich klientów, których mogła dotyczyć próba uzyskania dostępu do danych, stosowne informacje o podjętych działaniach i rekomendacje na rzecz lepszej ochrony danych, takie jak: zalecenie weryfikacji loginów i haseł w naszych serwisach. Klienci, którzy otrzymali od nas wiadomość drogą elektroniczną, zostali również powiadomieni o możliwości uzyskiwania wszelkich dodatkowych informacji za pośrednictwem naszego Biura Obsługi Klienta.

Na pewno można pochwalić za szybkie podjęcie odpowiednich działań. Publikacja informacji i wiadomości do użytkowników też pochwalę, choć tutaj to nie tyle wola, co obowiązek prawny podmiotu świadczącego tego typu usługi. Dobrze, że zakres danych, które mogły wpaść w niepowołane ręce jest dość wąski. Zgadzam się też, że tego typu zdarzenia mają miejsce, będą mieć miejsce. Oby jak najrzadziej.

 

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk