Skoro Święta, to nie może zabraknąć prezentów. I najwidoczniej wie o tym również Virgin Mobile, bo właśnie dostałem od nich SMSa o tym, że ktoś nieuprawniony „za ich pośrednictwem” dostał w łapki moje dane…
Nieuprawniony dostęp do danych klientów Virgin Mobile
O skuteczności (jak i sensie) RODO można pewnie długo gadać, ale nie da się ukryć, że dzięki RODO firmy zaczęły bez zbędnej zwłoki informować o tym, że nastąpił nieuprawniony dostęp do danych osobowych. Przynajmniej te większe, bo maluszkom to najczęściej nadal wisi i powiewa.
I tak w ten świąteczny dzień przyszedł do mnie kolejny SMS. Tym razem od Virgin Mobile. Ale to nie jedyna różnica względem pozostałych. SMS nie zawiera życzeń, a informację o tym, że ktoś (potencjalnie) uzyskał dostęp do moich danych:
Virgin Mobile informuje, ze doszlo do nieuprawnionego dostepu do sytemow spolki i ujawnienia danych czesci klientow, w tym Pana/Pani imienia nazwiska, numeru PESEL lub numer dokumentu tozsamosci. Prosimy uwazac na proby wyludzenia danych. Podjelismy dzialania zabezpieczajace, wiecej informacji wkrotce.
Imię i nazwisko przeboleję, bo to sam często podaje… Bardziej martwi mnie PESEL czy numer dokumentu tożsamości. I oczywiście „doceniam” klasyczną radę w tego typu przypadkach, czyli „my daliśmy dupy, ty uważaj na wyłudzenia”… ;-P
Kilka godzin po SMSie na Facebooku pojawiła się bardziej szczegółowa informacja na temat incydentu:
Virgin Mobile Polska z przykrością informuje, iż w dniach 18-22.12.2019 roku doszło do ataku hackerskiego na jedną z aplikacji informatycznych naszej Spółki, która umożliwiała dostęp do danych rejestrowych.
W wyniku zamierzonego, umyślnego ataku, doszło do nieuprawnionego ujawnienia danych rejestrowych (zbieranych na podst. art. 60 b ustawy prawo telekomunikacyjne) tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Spółki. Dotyczy to 12,5% rejestracji abonentów prepaid dokonanych przez Spółkę.
Atak hakerski nie dotyczy abonentów Virgin Mobile Polska korzystających z oferty abonamentowej, którzy nie dokonywali rejestracji prepaid.
Virgin Mobile Polska niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami, złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO, złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania. Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami.
Abonenci, których dane były celem ataku są informowani o zaistniałym incydencie.
Spółka podkreśla, iż opisany wyżej incydent jest wynikiem zaplanowanego i umyślnego ataku, oraz że atak dotyczy wyłącznie części abonentów naszej Spółki dokonujących rejestracji prepaid. Podkreślamy, że dane abonentów Spółki są bezpieczne, a Spółka podjęła wszystkie działania wymagane przez RODO. Atakujący nie uzyskał dostępu do baz ani infrastruktury Virgin Mobile Polska, a jedynie do części danych udostępnianych przez pojedynczą aplikację.
Z tego oświadczenia warto odnotować to, że wyciek dotyczy „tylko” części użytkowników ofert na kartę (PrePaid), oraz dotyczy osób, które otrzymały SMSa z informacją o nim, a więc niestety i mnie…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
Jestem ciekaw, czy jeśli dojdzie do jakichś wyłudzeń na podstawie wykradzionych danych będzie możliwość dochodzenia roszczeń od Virgin Mobile? Podejrzewam też, że nie jesteśmy świadomi ile razy nasze dane zostały wykradzione, bądź kupione od różnych firm i instytucji, które nigdy się do tego nie przyznają.
Ze smutkiem pozdrawiam i życzę bezpieczeństwa i zdrowia w nadchodzącym nowym roku.
Jest szansa, że może dojść, w końcu „dowody kolekcjonerskie” cały czas funkcjonują, choć zeszły trochę bardziej do podziemia LINK. Co do roszczeń od VM… hm… Jest to możliwe, ale by coś więcej uzyskać, pewnie trzeba by udowodnić, że to z powodu wycieku od nich doznaliśmy szkody. A to może być trudne, bo jak sam piszesz – nasze dane i tak latają. Ale można np. pisać do BOKu o rekompensatę np. za Alerty BIK.
Na koniec dziękuje za pozdrowienia i życzenia, i Tobie również najlepszego w nowym roku :-)
Choć operatora telekomunikacyjnego raczej zaliczam do tych podmiotów, gdzie takie sytuacje nie powinny mieć miejsca, bo zakres wycieku w wielu przypadkach może być dużo poważniejszy niż nawet numer dowodu czy PESEL. Z tego co wiem, to jest już też zaplanowana kontrola (P)UODO w Virgin Mobile.