30.04.2019 | 18:40

Adam Haertle

Co mają wspólnego Roksa.pl i loteria podatkowa w Gdańsku

Od momentu wejścia w życie RODO łatwiej nam dowiedzieć się o incydentach, ponieważ ofiary wycieków danych w części przypadków należy o tym fakcie powiadomić. Oto dwa najnowsze spore incydenty, które wydarzyły się w naszym kraju.

Zbieranie wielu danych osobowych jest często niezbędne do prowadzenia udanego biznesu. Wiąże się niestety także z ryzykiem tego, że ktoś niepowołany wejdzie w posiadanie owych danych. To właśnie prawdopodobnie spotkało użytkowników popularnego w niektórych kręgach serwisu Roksa.pl oraz gdańskich podatników, którzy chcieli skorzystać z loterii.

Roksa.pl – nie potwierdziliśmy włamania, ale incydent zaistniał

Roksa.pl to serwis, w którym oferty zamieszczają osoby trudniące się prostytucją. Korzysta z niego wielu klientów tego typu usług, ceniących sobie łatwość wyboru i przejrzystość oferty. Kilka dni temu serwis ten wysłał do swoich klientów następujący komunikat:

Początek komunikatu w wersji tekstowej:

Szanowni Państwo,

Otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie poufnych informacji, które znajdowały się w naszej bazie danych. Niestety ale na obecną chwilę nie udało nam się potwierdzić, że doszło do przełamania zabezpieczeń jak również ustalić skali i źródła ewentualnego wycieku. Dane te nie zostały także upublicznione w Internecie. Jednakże zgodnie z obowiązującymi przepisami informujemy Państwa o zaistniałym incydencie wskutek, którego Państwa dane mogły się dostać w niepowołane ręce.

Opis charakteru naruszenia

W bazie danych mogły znajdować się informacje o Państwa danych osobowych w postaci: loginu i zaszyfrowanego hasła do konta użytkownika, adresu e-mail, adresu IP, treści wiadomości wysyłanych do Administratora, listy ogłoszeń, dane przelewów dokonywanych bezpośrednio na nasze konta bankowe (nadawca, tytuł, numer konta).
W bazie danych nie przechowujemy danych osób, które dokonywały płatności systemem szybkich płatności Dotpay. Incydent ten nie dotyczy zdjęć i filmów.

Widzimy tutaj ciekawy scenariusz – z naszej interpretacji treści tej wiadomości wynika, że administrator Roksy jest przekonany, że dane jego klientów zostały wykradzione. Nie wie jednak, jak do kradzieży doszło – nie udało się ustalić źródła wycieku. Wiadomo za to, co wyciekło, a to sugeruje, że administrator Roksy otrzymał próbki wykradzionych danych. Wygląda także na to, że Roksa jest ofiarą szantażu – sugeruje to fragment mówiący o tym, że ktoś Roksę poinformował o wejściu w posiadanie informacji, jednocześnie nie wskazując, w jaki sposób je zdobył. Współczujemy trudnej sytuacji i gratulujemy dobrej reakcji – powiadomienie o wycieku klientów zmniejsza przewagę negocjacyjną szantażysty.

PIT w Gdańsku się opłaca!

Tak przynajmniej mówi slogan reklamowy loterii dla osób, które rozliczą swój PIT w Gdańsku. Można nawet wygrać samochód – w ten sposób miasto zachęca osoby przyjezdne, by rozliczały PIT w miejscu zamieszkania, zamiast w miejscu pochodzenia.

Nagrody w loterii

Niestety dla osób, które zadeklarowały udział w loterii, nie skończyło się to dobrze. Otrzymały one dzisiaj następującą wiadomość:

Szanowni Państwo

zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii „PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL – daty urodzenia. Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.

Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.

Tym razem nie wygląda to na włamanie i szantaż, a raczej na działanie osoby, która trafiła na dane w sieci. Wspomniana w komunikacie osoba weszła w posiadanie danych przez uzyskanie dostępu do „pliku technicznego” (cokolwiek to określenie oznacza), a w ramach czynności zaradczych „usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie”. Nasze doświadczenie wskazuje na scenariusz, w którym włączone było indeksowanie plików w katalogu serwera WWW i ktoś odnalazł tam plik zawierający dane podatników. Danych tych było niemało – w połowie marca w loterii udział zadeklarowało już 9000 uczestników.

Co ciekawe, organizator loterii zawiadomił organy ścigania w zakresie podejrzenia popełnienia przestępstwa. Na siebie raczej nie donosił, więc pewnie chodziło o ściganie osoby, która plik znalazła i o swoim znalezisku poinformowała. Jeśli to prawda, to nie zazdrościmy tej sytuacji.

Wnioski

Po pierwsze, sprawdzają się prognozy mówiące, że dzięki RODO dowiemy się o incydentach, o których w innym przypadku nikt by słowem nie pisnął.

Po drugie, widzimy, że przyczyny mogą być różne, a skutki podobne – czy to wykradzenie danych i szantaż, czy błąd konfiguracyjny i przypadkowe ujawnienie danych, wstyd pozostaje podobny i użytkowników trzeba zawiadomić.

Po trzecie, zapraszamy do kontaktu osoby, które wiedzą więcej o opisywanych incydentach, w szczególności odkrywcę pliku z Gdańska – jeśli działał w dobrej woli, to możemy pomóc.

Powrót

Komentarze

  • 2019.04.30 20:34 rabz

    Ciekawe czy istnieje cień szansy aby owe portale zostały obciążone finansowo na poczet tych zdarzeń.

    Odpowiedz
  • 2019.04.30 20:39 img

    Aha, więc wspólną cechą jest to, że ktoś im podp~1 dane i poinformowali o tym użytkowników.
    Niezły clickbait, gratulacje.

    Odpowiedz
  • 2019.04.30 20:42 Dobrze poinformowany

    Baza roksy to chyba kilka razy wyciekla, bo znany polski haker Krystian K. chwalil sie tym juz dawno temu…

    Odpowiedz
  • 2019.04.30 22:12 Koniuszy

    Olać loterię PITową, bo szykuje się Armagedon! Nadciąga fala rozwodów :D . Już widzę strony typu „czymniezdradza.pl”. I co, było pukać na boku/żenić się?*
    *) niepotrzebne skreślić.

    Odpowiedz
  • 2019.05.01 12:46 JB

    Wystarczy, że plik będzie upubliczniony i zindeksowany przez https://haveibeenpwned.com/

    Odpowiedz
  • 2019.05.01 14:24 Cichanos

    Z Roksy wyciekły dane osób które się tam ogłaszały a nie klientów tych osób.

    Odpowiedz
  • 2019.05.01 18:14 a

    > Usunięto plik techniczny z danymi
    Eeee…. Wyciumkowali całą bazę danych w kosmos?

    Odpowiedz
    • 2019.05.01 19:17 Monter

      Pewnie usunięto plik tekstowy ze zrzutem bazy znajdujący się w tzw. „głębokim ukryciu”, który nigdy nie powinien się tam znaleźć.

      Odpowiedz
      • 2019.05.02 04:28 Jerzy

        Albo debug.log.

        Odpowiedz
  • 2019.05.02 13:13 Amadeusz

    Co do loterii w Gdańsku, to jest już stosowny artykuł na trójmiejskim portalu:

    https://www.trojmiasto.pl/wiadomosci/Loteria-PIT-w-Gdansku-Dane-uczestnikow-zagrozone-n134068.html

    Odpowiedz
  • 2019.05.02 13:24 Lutek

    Odnoszę niedobre wrażenie, że za dużo w internecie jest tego drugiego dna. Jeżeli szybko nie znajdą się skuteczne środki zaradcze na troli, hakerów itd, kretynizmów to ludzie szybko przestaną zaglądać. Sam zacząłem już kupować gazety i unikać internetu do koniecznego minimum. Robi się taka Cloaka Maxima.

    Odpowiedz
    • 2019.05.02 19:51 jasc

      heheh, bardzo się rozczarujesz – jeszcze trochę a stoły i krzesła będą też podpięte do internetu; będziesz mógł sprawdzić w apce na smartfonie czy na krześle ktoś aktualnie siedzi, a haker będzie mógł uruchomić opcję eject z krzesła :)

      Odpowiedz
    • 2019.05.03 08:26 Paweł

      Problem jest inny. Coraz więcej na rynku „informatyków” co za flaszkę napiszą cały system. A potem skutki opłakane jak taki wrzuca dane do pliku który widzą wszyscy. Jak się nie ma wiedzy to się nie robi, ale zleceniodawcy chcą tylko taniej a nie lepiej…

      Odpowiedz
  • 2019.09.17 18:19 maz9

    Rok temu dałem się podejść łatwo na loterię Auchan.
    Po zakupie za 20 zł szło się do Obsługi Klienta i wkładało kartkę z Imieniem i Nazwiskiem oraz numerem telefonu.
    Im więcej kartek, tym łatwiej wylosować samochód.

    Do wygrania był samochód, a świadkiem finalnego losowania samochodu była osoba z ministerstwa finansów.
    Wylosowano osobę, której nie było na miejscu losowania, a po jakimś czasie otrzymywałem telefony od różnych agencji telemarketingowych z całej Polski.

    Prawdopodobnie to całe losowanie głównej nagrody było przekrętem, ale tak jest z większością tego typu loterii, gdzie gromadzi się dane klientów.

    Co jakiś czas cierpliwie odpowiadam telemarketerom o pomyłce i niewłaściwym obiekcie do naciągania i sprawa się uspokaja.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Co mają wspólnego Roksa.pl i loteria podatkowa w Gdańsku

Komentarze