Od momentu wejścia w życie RODO łatwiej nam dowiedzieć się o incydentach, ponieważ ofiary wycieków danych w części przypadków należy o tym fakcie powiadomić. Oto dwa najnowsze spore incydenty, które wydarzyły się w naszym kraju.
Zbieranie wielu danych osobowych jest często niezbędne do prowadzenia udanego biznesu. Wiąże się niestety także z ryzykiem tego, że ktoś niepowołany wejdzie w posiadanie owych danych. To właśnie prawdopodobnie spotkało użytkowników popularnego w niektórych kręgach serwisu Roksa.pl oraz gdańskich podatników, którzy chcieli skorzystać z loterii.
Roksa.pl – nie potwierdziliśmy włamania, ale incydent zaistniał
Roksa.pl to serwis, w którym oferty zamieszczają osoby trudniące się prostytucją. Korzysta z niego wielu klientów tego typu usług, ceniących sobie łatwość wyboru i przejrzystość oferty. Kilka dni temu serwis ten wysłał do swoich klientów następujący komunikat:
Początek komunikatu w wersji tekstowej:
Szanowni Państwo,
Otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie poufnych informacji, które znajdowały się w naszej bazie danych. Niestety ale na obecną chwilę nie udało nam się potwierdzić, że doszło do przełamania zabezpieczeń jak również ustalić skali i źródła ewentualnego wycieku. Dane te nie zostały także upublicznione w Internecie. Jednakże zgodnie z obowiązującymi przepisami informujemy Państwa o zaistniałym incydencie wskutek, którego Państwa dane mogły się dostać w niepowołane ręce.
Opis charakteru naruszenia
W bazie danych mogły znajdować się informacje o Państwa danych osobowych w postaci: loginu i zaszyfrowanego hasła do konta użytkownika, adresu e-mail, adresu IP, treści wiadomości wysyłanych do Administratora, listy ogłoszeń, dane przelewów dokonywanych bezpośrednio na nasze konta bankowe (nadawca, tytuł, numer konta).
W bazie danych nie przechowujemy danych osób, które dokonywały płatności systemem szybkich płatności Dotpay. Incydent ten nie dotyczy zdjęć i filmów.
Widzimy tutaj ciekawy scenariusz – z naszej interpretacji treści tej wiadomości wynika, że administrator Roksy jest przekonany, że dane jego klientów zostały wykradzione. Nie wie jednak, jak do kradzieży doszło – nie udało się ustalić źródła wycieku. Wiadomo za to, co wyciekło, a to sugeruje, że administrator Roksy otrzymał próbki wykradzionych danych. Wygląda także na to, że Roksa jest ofiarą szantażu – sugeruje to fragment mówiący o tym, że ktoś Roksę poinformował o wejściu w posiadanie informacji, jednocześnie nie wskazując, w jaki sposób je zdobył. Współczujemy trudnej sytuacji i gratulujemy dobrej reakcji – powiadomienie o wycieku klientów zmniejsza przewagę negocjacyjną szantażysty.
PIT w Gdańsku się opłaca!
Tak przynajmniej mówi slogan reklamowy loterii dla osób, które rozliczą swój PIT w Gdańsku. Można nawet wygrać samochód – w ten sposób miasto zachęca osoby przyjezdne, by rozliczały PIT w miejscu zamieszkania, zamiast w miejscu pochodzenia.
Niestety dla osób, które zadeklarowały udział w loterii, nie skończyło się to dobrze. Otrzymały one dzisiaj następującą wiadomość:
Szanowni Państwo
zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii „PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL – daty urodzenia. Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.
Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.
Tym razem nie wygląda to na włamanie i szantaż, a raczej na działanie osoby, która trafiła na dane w sieci. Wspomniana w komunikacie osoba weszła w posiadanie danych przez uzyskanie dostępu do „pliku technicznego” (cokolwiek to określenie oznacza), a w ramach czynności zaradczych „usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie”. Nasze doświadczenie wskazuje na scenariusz, w którym włączone było indeksowanie plików w katalogu serwera WWW i ktoś odnalazł tam plik zawierający dane podatników. Danych tych było niemało – w połowie marca w loterii udział zadeklarowało już 9000 uczestników.
Co ciekawe, organizator loterii zawiadomił organy ścigania w zakresie podejrzenia popełnienia przestępstwa. Na siebie raczej nie donosił, więc pewnie chodziło o ściganie osoby, która plik znalazła i o swoim znalezisku poinformowała. Jeśli to prawda, to nie zazdrościmy tej sytuacji.
Wnioski
Po pierwsze, sprawdzają się prognozy mówiące, że dzięki RODO dowiemy się o incydentach, o których w innym przypadku nikt by słowem nie pisnął.
Po drugie, widzimy, że przyczyny mogą być różne, a skutki podobne – czy to wykradzenie danych i szantaż, czy błąd konfiguracyjny i przypadkowe ujawnienie danych, wstyd pozostaje podobny i użytkowników trzeba zawiadomić.
Po trzecie, zapraszamy do kontaktu osoby, które wiedzą więcej o opisywanych incydentach, w szczególności odkrywcę pliku z Gdańska – jeśli działał w dobrej woli, to możemy pomóc.
Komentarze
Ciekawe czy istnieje cień szansy aby owe portale zostały obciążone finansowo na poczet tych zdarzeń.
Aha, więc wspólną cechą jest to, że ktoś im podp~1 dane i poinformowali o tym użytkowników.
Niezły clickbait, gratulacje.
Baza roksy to chyba kilka razy wyciekla, bo znany polski haker Krystian K. chwalil sie tym juz dawno temu…
Hahaha, to ten sam co niby do NATO się włamał. Koleś pewnie ledwo wie co to jest IP
Tak dobrze znany, że Google o nim milczy XDDDDD
https://www.google.com/search?q=azatej
https://www.forbes.com/sites/thomasbrewster/2019/01/21/hackers-who-leaked-collection-1-are-selling-10-times-more-data-but-you-dont-need-to-panic/
Olać loterię PITową, bo szykuje się Armagedon! Nadciąga fala rozwodów :D . Już widzę strony typu „czymniezdradza.pl”. I co, było pukać na boku/żenić się?*
*) niepotrzebne skreślić.
Wystarczy, że plik będzie upubliczniony i zindeksowany przez https://haveibeenpwned.com/
Z Roksy wyciekły dane osób które się tam ogłaszały a nie klientów tych osób.
> Usunięto plik techniczny z danymi
Eeee…. Wyciumkowali całą bazę danych w kosmos?
Pewnie usunięto plik tekstowy ze zrzutem bazy znajdujący się w tzw. „głębokim ukryciu”, który nigdy nie powinien się tam znaleźć.
Albo debug.log.
Co do loterii w Gdańsku, to jest już stosowny artykuł na trójmiejskim portalu:
https://www.trojmiasto.pl/wiadomosci/Loteria-PIT-w-Gdansku-Dane-uczestnikow-zagrozone-n134068.html
Odnoszę niedobre wrażenie, że za dużo w internecie jest tego drugiego dna. Jeżeli szybko nie znajdą się skuteczne środki zaradcze na troli, hakerów itd, kretynizmów to ludzie szybko przestaną zaglądać. Sam zacząłem już kupować gazety i unikać internetu do koniecznego minimum. Robi się taka Cloaka Maxima.
heheh, bardzo się rozczarujesz – jeszcze trochę a stoły i krzesła będą też podpięte do internetu; będziesz mógł sprawdzić w apce na smartfonie czy na krześle ktoś aktualnie siedzi, a haker będzie mógł uruchomić opcję eject z krzesła :)
Problem jest inny. Coraz więcej na rynku „informatyków” co za flaszkę napiszą cały system. A potem skutki opłakane jak taki wrzuca dane do pliku który widzą wszyscy. Jak się nie ma wiedzy to się nie robi, ale zleceniodawcy chcą tylko taniej a nie lepiej…
Rok temu dałem się podejść łatwo na loterię Auchan.
Po zakupie za 20 zł szło się do Obsługi Klienta i wkładało kartkę z Imieniem i Nazwiskiem oraz numerem telefonu.
Im więcej kartek, tym łatwiej wylosować samochód.
Do wygrania był samochód, a świadkiem finalnego losowania samochodu była osoba z ministerstwa finansów.
Wylosowano osobę, której nie było na miejscu losowania, a po jakimś czasie otrzymywałem telefony od różnych agencji telemarketingowych z całej Polski.
Prawdopodobnie to całe losowanie głównej nagrody było przekrętem, ale tak jest z większością tego typu loterii, gdzie gromadzi się dane klientów.
Co jakiś czas cierpliwie odpowiadam telemarketerom o pomyłce i niewłaściwym obiekcie do naciągania i sprawa się uspokaja.