Wyciek (a raczej kradzież) danych klientów Virgin Mobile

Od kilku dni niektórzy klienci Virgin Mobile otrzymują SMS-y informujące o tym, że ich dane osobowe zostały wykradzione:

Virgin Mobile informuje, ze doszlo do nieuprawnionego dostepu do sytemow spolki i ujawnienia danych czesci klientow, w tym Pana/Pani imienia nazwiska, numeru PESEL lub numer dokumentu tozsamosci. Prosimy uwazac na proby wyludzenia danych. Podjelismy dzialania zabezpieczajace, wiecej informacji wkrotce.

Jeden z naszych Czytelnik otrzymał już te “więcej informacji“. Oto one:

A więc przyczyną jest zaplanowany “atak hackerski”, a sprawa zostałą zgłoszona do PUODO. Standardowo “zostały wzmocnione procedury bezpieczeństwa” ale firma rekomenduje “ustawienie dodatkowych pytań weryfikacyjnych w bankach” oraz zastrzeżenie PESEL-u i Dowodu Osobistego. Zastrzec dowód sugerujemy również my — i to jak najszybciej — bo, jak poinformowało nas Virgin Mobile na Twitterze, wyciek mógł nastąpić już kilka dni temu, 18 grudnia.

Dodatkowe informacje od przedstawiciela Virgin Mobile

W sprawie niniejszego incydentu skontaktował się z nami Maciej Sobociński, IT Manager w spółce Virgin Media. Oto co chciał, abyśmy Wam przekazali:

W związku z wyciekiem danych, który miał miejsce w Virgin Mobile, informacją, którą opublikowali Państwo na fb i dyskusją, która rozgorzała pod publikacją przekazuję krótkie wyjaśnienia, których mogę w tej chwili udzielić.

    • Wyciek związany był z usługą przeznaczoną do generowania potwierdzeń rejestracji prepaid przez punkty POS. Być może stąd nieporozumienie, że problem dotyczy jedynie rejestracji dokonanych w punktach POS.

Wyciek został wykryty w dniu 22 grudnia. Usługa została wyłączona natychmiast, natomiast kolejne dwa dni zajęło nam zebranie informacji o skali wycieku i listy dotkniętych klientów. Informację do UODO przesłaliśmy 24 grudnia.

Wysyłkę sms prowadzimy w święta nie po to, by zrobić komuś przykrość, ale by jak najszybciej poinformować klientów o zaistniałej sytuacji.

Wyciek dotyczył ok. 12% danych abonentów, którzy dokonali rejestracji prepaid zgodnie z art. 60 b ustawy Prawo Telekomunikacyjne. Usługa z której wyciekły dane nie miała dostępu do danych umów postpaid.

Informację otrzymają wszyscy klienci, których dotyczył wyciek. W pierwszej kolejności otrzymują ją obecni abonenci, ale otrzymają ją również Ci, których wyciek dotyczy a przenieśli się do innej sieci.

W miarę rozwoju sytuacji będziemy przekazywać kolejne informacje.

Jeśli więc nie dostaliście SMS-a od Virgin Media, to albo jesteście klientem “abonamentowym” albo jesteście w tej grupie szczęśliwców, których atak nie dotknął (macie kartę prepaid, ale zarejestrowaną inaczej niż przez POS?). “12% danych abonentów” można różnie rozumieć, niekoniecznie jest to 12% klientów VirginMobile. Na czym dokładnie polegał atak/wykorzystany błąd? To nie zostało ujawnione.

Co robić, jak żyć?

Powtórzymy to, co zawsze powtarzamy jak wyciekają dane takie jak te znajdujące się na dowodzie osobistym (w tym PESEL i numer/seria):

  • unieważnij dowód osobisty i wyrób nowy (w urzędzie miasta)
  • dodatkowo zastrzeż stary dowód w dowolnym banku (za darmo)
  • dodatkowo zastrzeż PESEL na stronie BezpiecznyPesel.pl (za darmo, ale trzeba oddać skan dowodu, więc zastanówcie się czy warto)
  • cierpliwi i z darem przekonywania mogą rozważyć zgłoszenie faktu kradzieży dokumentów (uwaga, to nie to samo, co kradzież danych osobowych z czyjejś bazy) na Policji. Będzie to poświadczenie nieprawdy, ale wiemy, że niektórych to kusi, bo takie oświadczenie może okazać się bardzo przydatnym później, gdyby doszło do wyłudzenia. W przypadku zwykłego zgłoszenia kradzieży danych (a nie dokumentu) Policja będzie Was odsyłać do banku. Nie rekomendujemy kłamania, ale gdyby akurat kogoś okradli z dowodu i był klientem VirginMobile, to warto upiec dwie pieczenie na jednym posterunku.

To czy wszystko poszło dobrze możecie sprawdzić na obywatel.gov.pl, w specjalnym formularzu (za darmo, o ile macie PZ, a jak nie macie, to możecie sobie go założyć z poziomu banku lub standardowo, udając się do okienka ZUS/US z dowodem niezastrzeżonym lub paszportem).

Po jakimś czasie (teraz może być jeszcze za wcześnie) warto też odpytać banki o to, czy ktoś nie założy rachunku na Wasze dane. To również można zrobić pomocą Centralnej Informacji (usługa płatna — docierają do nas sprzeczne informacje “ile”, więc dajcie znać, jak dużo krzyknęli). I warto robić co jakiś czas.

Aby zminimalizować ryzyko przejęcia Waszych obecnych rachunków bankowych, rozważcie też zmianę numeru telefonu podpiętego do swoich rachunków bankowych. Utrudni to działanie tym, którzy chcieliby wyrobić duplikat Waszej karty SIM w celu przejęcia kontroli nad rachunkiem w banku lub w dowolnym serwisie, w którym macie skonfigurowane dwuetapowe uwierzytelnienie na numer telefonu (Faebook? GMail? Giełda kryptowalut?)

To będzie się powtarzać, przygotuj się

Nawet jeśli nie jesteś klientem Virgin Mobile, warto abyś wiedział co robić, kiedy ktoś ujawni Twoje dane wystarczające do wzięcia pożyczki na Twój rachunek. W tym celu dokładnie przeczytaj te dwa nasze artykuły sprzed roku pt. “Ktoś wziął pożyczkę na moje dane, co mam zrobić?” oraz Co robić, jeśli moje dane pozwalające na zaciągnięcie kredytu lub pożyczki wyciekły? One wyjaśniają, dlaczego w Polsce, aby zminimalizować ryzyko strat finansowych po wycieku danych (ale uwaga! Nie w 100%!), trzeba wykonać aż kilkanaście kroków, które zebraliśmy w formie tej skomplikowanej mapki:

Żródło niebezpiecznik.

Nie wszystkie z tych kroków są dla nas sensowne (jak np. to, że różne wywiadownie gospodarcze oferujące “blokady” nie współpracują ze sobą i nie wymieniają się danymi między sobą, przekładając tym samym swoje zyski nad dobro i wygodę klientów). Nie wszystkie z tych kroków są możliwe do wykonania za darmo. No ale cóż, taki mamy klimat. Klientom z Virgin Mobile, którzy dostali SMS-a w sprawie wycieku, życzymy miłej wymiany dokumentów i PESEL-i.

Skontaktuj się z nami

Umów wizytę online

Zamów serwis online

Przejdź na stronę główną

 


0 Komentarzy

Leave a Reply