Najpierw pojawił się wpis na Wykopie. Nowo zarejestrowany użytkownik alarmował, że pracownica salonu sieci Play w Piekarach Śląskich handluje danymi klientów. Postanowiliśmy bliżej przyjrzeć się tej sprawie.
Administratorzy Wykopu szybko usunęli wspomniany wpis za naruszenie regulaminu (nieodpowiednie treści), ale zanim do tego doszło, zdążyliśmy zrobić zrzut ekranu. Można się z niego dowiedzieć, że w wyniku prowokacji dane abonentów zostały rzekomo sprzedane za 2 tys. zł. „Tyle warte jest RODO i wasze dane” – podsumowuje autor wpisu, podając linki do dwóch plików CSV w serwisie Wrzucacz (też już usuniętych).
Krótko potem te same linki zostały przesłane nam mailem.
Co znalazło się w plikach CSV
Zanim pliki zostały z Wrzucacza usunięte, mogliśmy się przekonać, że oba zawierały po kilkanaście tysięcy wiarygodnie wyglądających rekordów, przypominających zawartość bazy danych sieci komórkowych.
Pierwszy plik zawierał 14 tys. rekordów, a w nich takie pola jak:
- ID klienta,
- nazwa bazy,
- typ (firma/indywidualny),
- NIP/PESEL (warto zauważyć, że większość kont miało to pole puste, jeśli coś w nim było, to raczej NIP),
- nr konta,
- liczba numerów przypisanych do konta,
- adres e-mail.
Z kolei drugi plik mieścił 13 tys. rekordów, a w nich takie pola jak:
- imię i nazwisko klienta
- adres zamieszkania (kod pocztowy, miejscowość, ulica, nr domu i mieszkania),
- numery telefonów (czasem kilka),
- datę ostatniej wizyty.
Baza wygląda na aktualną, nawet na powyższym zrzucie ekranu znajdziemy kilka osób, które odwiedziły salon sieci Play w Piekarach Śląskich w bieżącym roku (ostatnia z odnotowanych wizyt miała miejsce 18.05.2018). Choć według udostępnionych danych większość ofiar wycieku pochodzi z Piekar Śląskich i okolic, to na liście znalazły się także osoby z całej Polski, które prawdopodobnie odwiedziły salon, który padł ofiarą ataku. Jeśli mieszkacie gdzie indziej, ale w ciągu ostatnich pięciu lat byliście w Piekarach Śląskich i załatwialiście coś salonie Play, to Wasze dane też mogły zostać wykradzione.
Jak mogło dojść do kradzieży danych
Nadawca otrzymanego przez nas maila sugerował, że posiada dowody na handel danymi przez pracowników sieci Play – do sprzedaży doszło podczas rozmowy za pośrednictwem GG, a do komputera w salonie włamywacz miał się dostać przy użyciu zdalnego pulpitu. Dowodów na handel danymi nigdy nie zobaczyliśmy, jednak wkrótce otrzymaliśmy dłuższe wyjaśnienie, z którego wynika, że sprawca wycieku zamierza sukcesywnie udostępniać „dane różnych instytucji, które powinny dbać o bezpieczeństwo IT, a ich pracownicy używają służbowych komputerów do prywatnych rozmów i otwierania załączników niewiadomego pochodzenia, czatowania i oglądania pornoli”. Obietnica padła ponad tydzień temu i według naszej wiedzy nie została do tej pory zrealizowana.
Dalej możemy przeczytać, że autor maila robi to z pobudek osobistych – chodzi o to, by „w branży IT w Polsce specjaliści zarabiali normalne pieniądze i byli doceniani”. Argumentacja dość pokrętna, ale sama historia wycieku danych z salonu sieci Play jest spójna, a ujawnione dane wyglądają wiarygodnie. Na dodatkowe pytania przesłane włamywaczowi niestety nie otrzymaliśmy odpowiedzi.
Play bada sprawę
Jak zwykle w podobnych przypadkach, nawiązaliśmy kontakt z firmą, której dotyczy wyciek. Na naszego maila odpowiedziała Ewa Sankowska-Sieniek z biura prasowego sieci Play. Okazało się, że operator o sprawie już wie i sprawdza, co się stało. Został o niej powiadomiony także organ nadzorczy, czyli Prezes UODO (dawniej GIODO). Co do osoby podejrzanej o handel danymi to Sankowska-Sieniek napisała: „Jedna istotna uwaga – nie jest to pracownica Play, jest to osoba zatrudniona przez naszego partnera biznesowego”.
W opisywanym powyżej przypadku mamy do czynienia z dość oczywistym przestępstwem – ktoś wykradł dane klientów z komputera salonu sieci komórkowej i opublikował je w sieci, czyniąc tym samym szkodę osobom, których dane ujawnił. Zdecydowanie nie popieramy tego typu działań – jeśli widzicie gdzieś problem z bezpieczeństwem informacji i chcecie go nagłośnić, to nie musicie wrzucać danych do sieci – wystarczy skontaktować się z nami. Gwarantujemy anonimowość i chętnie pomożemy w poinformowaniu firmy, której problem dotyczy, i usunięciu zagrożenia.
Komentarze
„Jedna istotna uwaga – nie jest to pracownica Play, jest to osoba zatrudniona przez naszego partnera biznesowego”
aha… zaraz okaże się że pracownikami play jest tylko zarząd oraz sekretarka.
Paaaaanie, tera to wszystkie ałtsorsują.
Bo taka jest prawda.
Bo tak jest
Salony play dzielą się na co najmniej dwa rodzaje.
Play, czyli salony w których możesz zrobić więcej i są bezpośrednio ich salonami
Play4Mix, czyli salony które są osobną firmą i możesz załatwić mniej
Możliwe że są też inne franczyzy
Są salony na zasadzie franczyzy
Play4Mix to nazwa firmy, która ma kilka salonów Play, ale oprócz niej są również inne firmy.
Powiem Ci szczerze że paradoksalnie możesz mówić prawdę – sam pracuje przez partnera biznesowego Play i powiem Ci tak w mojej miejscowości ok 70 tys. Mieezkańców mamy 4 salony Play i tylko 1 to tzw „salon własny” czyli taki w którym pracownicy są zatrudniani bezpośrednio przez P4 (czyli Play) reszta to partnerzy co więcej w miejscowości oddalonej o około 15 kilometrów od mojej gdzie jest 20 tysięcy mieszkańców jedyny salon Play to partner biznesowy ;)
Ale to PLAY udostępnił te dane partnerowi i jego pracownicy, PLAY jest odpowiedzialny i powinien Zapłacić Masakrycznie Wielką Karę w końcu jest RODO, może dopiero wtedy skończy się handlowanie danymi jako klient PLAY udostępniam dane do rozliczeń za usługi PLAY a nie jego partnerom, PLAY jest winne i koniec, jeżeli nie zapłaci WIELKIEJ KARY to znaczy że RODO to FARSA.
Ma zapłacić Play, bo tak Ty tak chcesz?
Po pierwsze to nie znasz umowy franczyzy, nie wiesz w jakim stopniu udostępnione dane to były dane Play, a w jakim dane salonu, bo taki salon może być zarówno administratorem tych danych, jak i przetwarzającym w imieniu Play. Po drugie, wyciek na 99% jest wynikiem celowego i niezgodnego z prawem działania, a nie zaniedbania, zatem mówimy tu o przestępstwie, a nie zaniedbaniu obowiązków wynikających z RODO.
Kolega ma racje – odpowiada PLAY za działania PROCESORA, którym jest partner biznesowy. Ciekawe czy PLAY przeaudytował partnerów czy spełniają wymogi RODO (ma taką możliwość), wówczas wiedziałby jakie są procedury i zadbałby o dane klientów
Pewnie stażysta z biura pracy na przyuczeniu :)
Pewnie tak, bo reszta na zleceniu ;)
Z3S powinna stworzyć serwis/wyszukiwarkę w stylu „have i been pwned”, tylko dla wycieków z Polskich firm/instytucji :)
W jaki sposób mam sprawdzić czy moje dane się znajdują w tym czy innym wycieku? Google-ować numer telefonu, imię nazwisko, jakiś identyfikator itd.?
Wyslij mi na PW swoj pesel, imie, adres a ja ci powiem czy jestes w bazie :D
Piszemy „polskich firm”, to jest przymiotnik, tumanie!
Oj tam oj tam, nazista gramatyki się znalazł :P
Jeśli kolega ma problem, to sobie pokrzyczy przed monitorem, a nie obraża ludzi od tumanów, bo wielką literą zaczęli przymiotnik.
Kto, według RODO, odpowiada za wykradzenie danych, kradziej, czy firma zatrudniająca kradzieja?
Wg mnie kradziej.
Kradziej i firma zatrudniająca kradzieja jednocześnie. A w przypadku nieuregulowania kwestii powierzenia przetwarzania danych między Play a jego partnerem – to także Play. Dzieje się tak ponieważ to Play jest Administratorem Danych klientów i on wraz z procesorami, którym dane powierzył, odpowiada za ich bezpieczeństwo itd. Dlatego też osoby, których dane wyciekły mogą dochodzić odszkodowania od Play bądź firmy zatrudniającej kradzieja
Administratorem danych i podmiotem odpowiedzialnym za wprowadzanie i przetwarzanie danych jest partner biznesowy/właściciel salonu czyli firma zatrudniająca konsultanta o którym mowa.
Wyciek danych jest u administratora danych! To Administrator danych odpowiada za procesy przetwarzania danych osobowych którymi administruje! A skoro tak, to za wyciek (kradzież) odpowiada administrator danych. A co do „kradzieja”, to tu chyba zadziała oskarżenie o kradzież mienia, bo dane osobowe są aktywami takiej firmy. Kara dla „kradzieja” to chyba będzie zależała od wysokości strat jakie udowodni firma okradziona! Ale za brak ochrony danych osobowych zapłaci administrator danych, aczkolwiek lata praktyki działania urzędów, wskazują, że żadnej odpowiedzialności finansowej nie będzie! Bo ustawa o ochronie danych osobowych w Polsce była od 1997 roku, a jakoś nigdy nie czytałem o tym aby kogoś wsadzili do więzienia czy ukarali znacząco (przynajmniej 12 pensji)za nawet znaczące wycieki danych! A skoro tak było kiedyś, to dlaczego obecnie ma być inaczej? Czy jest w ogóle jakaś kontrola i nadzór na tym? W GP był wywiad z byłym dyrektorem biura GIODO, i tam była informacja, że GIODO miało ok. 130 ludzi! To niby jak mają działać skutecznie? Po latach, gdy sprawa się przedawni? A ilu jadących po kielichu jest wyłapanych na drodze? A przecież policja w drogówce ma spore siły kadrowe. Skala jeżdżących i przetwarzających dane jest chyba porównywalna! No to jak ma się 130 osób w urzędzie od ochrony danych osobowych, do stanu osobowego drogówki!
A według mnie firma bo zatrudniła kradzieja, i umożliwiła mu ściągnięcie całego pliku z danymi klientów. To przedsiębiorca ma zapewnić bezpieczeństwo i odpowiada za pracowników i partnerów którym udostępnia dane.
Co radzicie zrobić osobie, której dane prawdopodobnie znajduja się w tej bazie?
>Co radzicie zrobić osobie, której dane prawdopodobnie znajduja się w tej bazie?
Zmień emaile i hasła, numer telefonu, adres, rodzinę i twarz. Może Cię nie znajdą…
Kolega zapomniał jeszcze dodać o odciskach palców, ja osobiście polecam papier ścierny (średnia grubość).
A tak na serio, na pewno wypadało by się zastanowić nad zmianą nr tel. zapewne trafił on już do wszystkich baz telemarketerskich w kraju.
Nie wiem jak z resztą.
Dlaczego partnerowi biznesowemu udzielili dostęp do danych? Powinni zwrócić się do każdej z tych osób, zawiadomić o niebezpieczeństwie nielegalnego wykorzystania danych, a potem oddać państwu koszt ponownego wydrukowania 15 tysięcy dowodów osobistych.
Tu bardziej chodzi o źle zarządznie uprawnieniami i dostęp do wszystkich danych w jednym miejscu. Skoro była taka możliwość żeby pracownik mógł sobie zrobić „select *” i zapisać do csv to tylko zależało od czasu kiedy to się stanie. Domyślam się że nie było to też logowane. Pewnie w Polsce było wiele takich wycieków tylko nie było o nich głośno. Wina firmy która udostępnia taki program użytkownikom (oczywiście pracownik też jest winny bo zerwał to jabłko).
No a potem się dziwić, skąd przeróżne netowe qrwiszony mają Twoje człowieku dane, których im nie dawałeś nigdy w życiu :P
Hipokryta. Najpierw szkaluje RODO, a potem sam bierze udział w udostępnianiu danych. Pewnie jakiś prawaczek, który nie nawidzi lewackiej unii
Acha.
1. Nie zauważyłem „szkalowania RODO”.
2. Cytat, że chce by „w branży IT w Polsce specjaliści zarabiali normalne pieniądze i byli doceniani” sugeruje raczej zapędy lewicowe, to o krok od założenia związku zawodowego specjalistów IT, a najlepiej, żeby wszyscy podatnicy składali się na milionowe pensje dla naszego mega specjalisty.
3. Na poważnie. Jak mu tak źle, to niech wyjeżdża gdzieś gdzie mu lepiej zapłacą albo niech zmieni fach na lepiej płatny. Prawdopodobnie to ani prawak, ani lewak, a zwykła szmata.
Najgorszy operator jakiego znam 2 lata płaciłam za brak usługi mimo wielu reklamacji każdemu odradzam umowy z Play. Na szczęście doczekałam końca umowy polegającej na tym że płaciłam za brak zasięgu.
Bo trzeba było włączyć sobie inną sieć,bo w Play to możliwe i miałabyś zasięg
@Jurek. No mistrzostwo swiata. Podpisac umowe z Play zeby przelaczyc telefon na Orange/Plus/T-Mobile, a zeby bylo smieszniej to najpierw walczyc z BOK Play zeby taka mozliwosc w ogole udostepnili.
nie wiem jaką miałeś usługę w Play, ale ja na wszystkich kartach mam domyślnie włączone wszystkie te sieci
Nigdy nic nie mialem z Play oprocz darmowej testowej uslugi gdy startowali (nie podpisalem umowy po zakonczeniu testow). Musialbym byc jednak ostro pie*dolniety, zeby podpisac umowe z Play z mysla korzystania z zasiegu T-Mobile.
Play od dawna ma zasięg kilku sieci. Nawet się z tym reklamowali. Nie trzeba z nikim walczyć żeby to włączyć. Wystarczy zezwolić na roaming krajowy w telefonie. Przynajmniej na androidzie. Gorzej jak masz zwykły telefon. Wtedy najczęściej nie ma opcji od roamingu krajowego i musisz włączyć cały roaming. A jak mieszkasz przy granicy to robi się ryzykowne. Fakt że do niedawna nie było zbyt różowo z zasięgiem 4G innych sieci, ale teraz jest już lepiej.
Roaming krajowy dotyczy transferu danych a nie rozmów. Nie wprowadzaj człowieka w błąd. Telefon nie ma funkcji włączenia wyłączenia roamingu dla rozmów telefonicznych – ani na androidzie ani na symbianie ani nawet na ios.
Najprawdopodobniej kolega podpisał umowę na internet mobilny i nie zrezygnował z niej w ciągu regulaminowych 14dni a chciał to zrobić później.
Potwierdzam, mają klijentów tak głęboko w dupie że jak rano myją zęby to machają do mnie oglądając w lustrze. Czekam na koniec umowy. Reklamacje i żadne kombinacje z siecią nie pomogą jak sms z banku utknie ci u operatora.
Kwestia indywidualna. Dobrze, że jest wybór. Jednemu pasuje jedna sieć a drugiemu inna. Ja od dziecka porównywałem dostępne sieci aby na własnej skórze przekonać się w różnicach ofert i świadomie wybrać najlepiej. Tym sposobem, na kilka lat zostałem w Erze. Po sprzedaniu sieci do T-Mobile, sieć pod tą już nazwą przestała mi odpowiadać. W tym czasie gdy PTC (Era po przejęciu),zaczęła schodzić na psy, bardzo dobra ofertę oferował PLAY w tym także formułę 4.0. Przeniosłem nr do PLAY i od ok 6 lat jestem do teraz. Porównanie mam w stosunku do innych sieci na bieżąco i nie ma żadnych argumentów bym zdecydował się na cokolwiek innego. Pozdrawiam.
Pani Sankowska-Sieniek powinna napisać _byłego_ partnera biznesowego. Jeśli administratorem danych osobowych jest Play, to na nim spoczywa obowiązek doboru partnerów biznesowych, a nie kierowanie „jednych istotnych uwag”.
Trochę z innej beczki w temacie bezpieczeństwa związanego z kartami SIM sieci Play. Ostatnio wymieniałem kartę i jedynymi danymi jakie musiałem podać była nazwa firmy oraz NIP. Pracownik salonu nawet pokazał mi listę numerów zarejestrowanych na firmę i zapytał który wymieniamy. Pomyślmy teraz o dwuetapowej autoryzacji za pomocą SMS-ów … Jak łatwo możemy komuś przejac telefon…
Jak chlop twierdzi, ze jest specjalista z dziedziny IT i za malo zarabia to niech jedzie do NL, UK, czy DE. Dostanie od reki 4x wiecej niz w Polsce. Po co sie meczyc z wyrokiem sadowym w Polsce?
Każdy „szanujący się” salon któregokolwiek operatora ma listę osób, które zawarły umowę lub sprawdzały kiedy umowa wygasa. Jest to standardowa procedura (nigdzie nieopisana), że robi się bazę osób które podały dane w jakimś celu… Nie tylko podpisanie umowy, ale również aneksu, zmiany danych, itp.
Salony na 3-4 miesiące przed wygaśnięciem umowy obdzwaniają taką bazę aby przypadkiem wcześniej nie zadzwonił sam operator z „super” ofertą.
Niby są kary umowne opiewające na setki tysięcy peelenów, ale tak naprawdę wszyscy to mają w czterech literach. Najważniejszy jest kontrakt!
RODO trochę ludzi przestraszyło, ale starych nawyków trudno się pozbyć.
Już dzięki Play w toksycznym połączeniu z mBank miałem mam problem bo dzięki usłudze teleplay która naoj wniosek zdjęli z oferty hakerzy przechwytywali SMS z hasłami jednorazowymi by brać kredyty. Mam takowy pakiet na 70 tys zł. Widać że nasze służby są dobre ale do branie kasy. Moim zdaniem po takiej kolejnej jak widać wpadce jak i mBank tak i play powonniiec cofnięte koncesję oraz powinni zapłacić skarbowi państwa milionowe kary. Wtedy inni nadawcy i banki pilnowałby aby się to nie powtórzyło. Ciekawostką jest to że mBank w sytuacji gdy kredyty były wzięte po kradzieży danych klienta nabiera wody w usta i ma klienta w głębokim poważaniu. Inne banki przepraszają a ty płacz i płać
Franczyza czy co by tam miało to być, Administratorem Danych Osobowych jest Play i to Play ponosi odpowiedzialność za dobór partnerów i
zabezpieczenie danych. Ciekawi mnie teraz czy Play łąskwie poinformuje użytkowników, że ich dane wyciekły i mogą być narażeni na nieprzyjemności. Złożyli też zawiadomienie do UODO w ciągu 72h? Ciekawe.
Ciekawe czy już poinformowali wszystkich klientów z listy, z tego co pamiętam tego wymaga RODO.
no to firma Tele-Kom autoryzowany dealer play, może sie powoli zbierać z rynku. Znów salony będą do sprzedania za bezcen.
A tak na serio, to nikt nie sprzedawał żadnych danych, tylko jakiś pi..lony stulej, którego pewnie wyjebali z salonu za brak mózgu, zajebał bazę salonową do obdzwonki klientów (przedłużenie umów, dosprzedaż itd), opublikował, coby mieć satysfakcję że jest górą i stworzył jakąś pojebaną historię jakoby się włamał jak wielki haker ku dobru i chwale bezpieczeństwa danych…..
To chyba nie istotne kto dla kogo pracowal. Wyciekly dane PLAY, to PLAY mial obowiazek odpowiednio zabezpieczyc i przechowywac dane. Jesli numery PESEL takze wyciekly to bedzie niezla gratka dla cwaniaczkow co zaciagna pozyczki chwilowek na dane z listy.
Niby łatwy cel, ale jak ktoś myśli i zdaje sobie sprawę, że co rusz pesel jest gdzieś wykorzystywany, to się stara w jakiś sposób zabezpieczyć. Można przecież skorzystać z ochrony peselu w chronpesel.pl i nawet jak nasze dane jakaś „genialna” firma udostępni to mamy luz, bo zanim ktoś to wykorzysta to się o tym dowiemy.
Zapytam z innej strony. Po co wam ludzie telefony na abonament? Nie lepiej mieć na kartę, najlepiej na zagraniczny numer w roamingu. Bez rejestracji bez ryzyka wycieku danych. Ceny rozmów nie kosztują wiele a zamiast długo paplać lepiej spotkać się w 4 oczy.
„sprawca wycieku zamierza sukcesywnie udostępniać „dane różnych instytucji, które powinny dbać o bezpieczeństwo IT, a ich pracownicy używają służbowych komputerów do prywatnych rozmów i otwierania załączników niewiadomego pochodzenia, czatowania i oglądania pornoli””
Jeśli to jest jedyna droga do uzdrowienia sytuacji to czemu nie. Mnie też przeraża jak ludzie z mojego środowiska używają służbowych komputerów do prywatnych spraw wliczając w to cytat i więcej. Jak ktoś pokroju senior inżyniera czy architekta może w ogóle pomyśleć o użyciu monitorowanego środowiska do prywaty narażając swoją prywatność na podglądanie przez pracodawcę oraz pracodawcę i jego klientów na atak. Co nie stać na swoje zabawki? Więc jeśli firmy i instytucje wewnętrznie nie rozliczają pracowników to ktoś musi je rozliczyć. Będąc świadom zagrożeń jestem za opcją atomową. Może wtedy dotrze do managementu, że zarządzanie korporacją czy urzędem nie sprowadza się tylko do brania forsy.
Nie odwiedziłem tego feralnego salonu, ale byłem w innym salonie Play. Przenosiłem numer z prepaid do abonamentu, dwa miesiące później dostałem przesyłkę z prokuratury z informacją, iż moje dane wraz z kopią umowy (jak również kilkuset innych klientów Play) są w ich posiadaniu i będą wykorzystane podczas rozprawy sądowej przeciwko byłej kierownik tamtego salonu, która jak się okazało dopuściła się jakichś machlojek przy sprzedaży telefonów :/
Widać już że nigdzie dane nie są bezpieczne, z tego względu po tej całe aferze gdzie sama jestem ich klientką wykupiłam abonament do ochrony danych gdzie kosztuje mnie to 7,90 miesięcznie
Tak sie zastanawiam i jak teraz temat wygląda – ja kto się skońćzyło..