W sieci pojawił się plik, zawierający szczegółowe dane ponad 400 tysięcy abonentów polskiej firmy telekomunikacyjnej Hyperion. Ujawniono nie tylko imiona, nazwiska, adresy czy numery telefonów, ale także numery PESEL, hasła i numery rachunków.
Od anonimowego czytelnika otrzymaliśmy wczoraj link do pliku eboa.hyperion.pl.customers.db.dump.csv.zip. Jak sugeruje jego nazwa, zawiera on dane abonentów firmy telekomunikacyjnej Hyperion S.A. (połączonej niedawno z firmą MNI Telecom S.A.). Firma świadczy usługi dostępu do internetu, telefonii i telewizji w wielu miastach całej Polski, między innymi w Bydgoszczy, Częstochowie, Katowicach, Kielcach, Krakowie, Łodzi, Opolu, Toruniu czy Wrocławiu.
Wspomniany plik o rozmiarze 190 MB zawiera ponad 400 tysięcy wierszy z danymi abonentów. Wśród danych znajdują się takie informacje jak:
- imię i nazwisko
- adres świadczenia usługi oraz korespondencyjny
- numery telefonów kontaktowych
- numery NIP/PESEL
- numer rachunku bankowego (wygląda raczej na rachunek operatora do celów rozliczenia)
- hasło (większość haseł wygląda na nadawane losowo, choć są również wybierane przez użytkowników)
- saldo rozliczeń
- inne wewnętrzne informacje operatora
Fragment ujawnionego pliku
Nazwa pliku sugeruje, że źródłem wycieku była platforma eBOA operatora, służąca klientom do samodzielnej obsługi. Za tą teorią przemawia również fakt, że obecnie platforma ta jest niedostępna i widnieje w niej informacja mówiąca, że niedostępność związana jest z dość enigmatycznie opisaną „aktualizacją i przetwarzaniem danych w systemie Platforma eBOA”.
Nieczynna platforma eBOA
Opublikowany plik nie zawiera żadnych dat, zatem nie mamy możliwości weryfikacji, kiedy mógł nastąpić wyciek. Zwróciliśmy się z kilkoma pytaniami do firmy Hyperion i czekamy na odpowiedzi – jak tylko je otrzymamy, znajdziecie je w tym artykule.
Kilkanaście dni temu w sieci znalazła się także inna, dużo mniejsza baza, zawierająca kilkaset rekordów, prawdopodobnie z danymi pracowników firmy.
Wszystkim klientom Hyperiona polecamy oczekiwanie na oficjalne stanowisko firmy. Zakres ujawnionych danych niestety nie umożliwia podjęcia żadnych działań zapobiegających potencjalnym nadużyciom – trudno zmieniać numer telefonu czy adres, nie mówiąc o numerze NIP czy PESEL. Bez wątpienia warto zachować czujność, ponieważ oszuści mogą próbować wykorzystywać ujawnione dane do podszywania się pod klientów firmy chociażby w celu wyłudzenia produktów i usług. Niestety trudno temu zapobiec.
Aktualizacja: Paweł informuje w komentarzach, że firma ta już wcześniej miała problemy z podstawowymi zasadami bezpieczeństwa.
Komentarze
Szkoda, że to nie ten Hyperion: http://hyperion-entertainment.biz/ ;)
wszystko w swoim czasie ;)
Niestety to tylko czubek gory lodowej ;-( Rozejdzie sie po kosciach… jak zawsze. Kolejny przyklad polskiej firmy nastawionej na zyski i niedbajacej o wykwalifikowanych ludzi. Efekty? Jak widac. A szkoda ;-p Powered by http://tinyurl.com/pj6elsj
Na ToRepublic jakiś czas temu ktoś chciał prawdopodobnie właśnie tę bazę sprzedać.
Ta firma od dawna kaleczy pojęcie profesjonalizmu
Ma ktoś tą bazę :)?
tak.
Możesz ją gdzieś wystawić?
nie
również chciałbym zweryfikować tą bazę pod katem mojej osoby, można prosić o jakiś link?
Podaj swoje dane, sprawdzę czy są w bazie :)
chesteroni – mógłbym mieć prośbę do Ciebie o kontakt na maila w związku z tym tematem?
Wiele lat temu wyciekła baza TP s.a. i wciąż jest dostępna w necie. Czy gdzieś po necie krążą jeszcze inne takie bazy ?
tak
Link do bazy? Chciałbym zobaczyć czy jestem na liście.
Czy ktoś mógły wrzucić link do bazy na jakiś bezpieczny hosting w sieci TOR, żeby nie było, że chcemy go namierzyć. Niestety temat na forum ToRepublic wymaga rejestracji, a rejestracja wymaga zaproszenia. Jest to oczywiście dla mnie w 100% zrozumiałem ze względu na inne treści tam zawarte. Może dzięki temu ToRepublic nie skończy jak pozostałe polskie fora. Tak czy inaczej, jeżeli ktoś mógłby opublikować bezpośredni link do bazy wielu użytkowników tego nieszczesnego MNI byłoby zapewne bardzo wdziecznych…
Nic dziwnego skoro jeszcze 2009 roku przy błędnym wpisaniu loginu/hasła (nie żadne tam hakowanie) strona wypluwała pełne zapytanie jakie szło do bazy :/ Nie wiem czy od tamtego czasu coś zmienili ale widać chyba nie..
http://pawlos.blogspot.com/2009/06/bezpieczenstwo-jak.html
Paweł
Do wszystkich pytających o to, gdzie znaleźć bazę. Trochę potrolowałem w komentarzach, ale wasze pytania/prośby powodują opad wszystkiego. Czy naprawdę myślicie, że
a) ktoś byłby tak głupi by randomowej osobie takie dane dawać na tacy? Może i myślicie, ale gdybym miał taką bazę to na pewno bym nie ryzykował obnoszenia się z nią publicznie
b) Adam (prowadzący Z3S) byłby tak hm… nierozsądny aby pozwolić na linki do dumpów bazy w komentarzach? Już ubijał takie rzeczy i nie wątpię, że zrobiłby to ponownie.
Ogarnijcie się, użyjcie google, popytajcie znajomych z „podziemia”, a nie liczcie że takie rzeczy dostaniecie na tacy i to jeszcze polane sosem truflowym ;-)
Miłego!
heh… no to ladnie Nas ktos…
Będąca własnością Hyperiona firma PAI z Łodzi nie pierwszy raz „udostępniła” bazę klientów w sieci…
Witam
Mam pytanie. Jak teraz w zaistniałej sytuacji się zabezpieczyć? Nie wiem co teraz robić, a boję się że nagle będę miał jakiś kredyt na głowie
Raczej nic nie możesz zrobić. Jeśli wykradziono dane, które pozwolą komuś wziąć kredyt w jakiejś instytucji na Twoje dane, ale z kasą dla oszusta, to instytucja jest do dupy i w końcu kiedyś pewnie wygrasz z nią w sądzie.
A poza tym opcje:
– zmiana adresu
– zmiana nazwiska i imienia
– zmiana obywatelstwa
PESEL-u zmienić się nie da, o ile wiem, ale chyba przy zmianie płci jest to wykonalne ;-)
To w zasadzie tyle, witaj w świecie opartym na zaufaniu ;-)
Czy może ktoś sprecyzować, czy dane które wyciekły obejmują tylko Hyperion S.A., czy także Hyperion Wschód Sp. z o.o. ?
Czy teraz zacznie się fala kredytów na słupa? Czy sam fakt posiadania tych danych pozwoli wziąć komuś pożyczkę albo coś na kredyt?
Ta firma powinna ponieść milionowe odszkodowania na rzecz abonentów i z urzędu spłacać kredyty co do których pojawiłyby się wątpliwości
Najlepsze jest to, że chciałem się ustrzec przed ewentualnymi naciągaczami zgłosić to na policji (tak jak się zgłasza zgubienie dowodu). Niestety taka opcja nie istnieje. Straciłem 1,5h i nic, policja nie wiedziała co robić. W końcu zaczęli spisywać protokół popełnienia przestępstwa (chyba jakiś żart). Niech hyperion zgłasza popełnienie przestępstwa a nie ja.
zaplace
Pier….. taki internet wyciek danych , częste awarie . To chyba jakiś żart zajebis….. kiepski , zamierzam zrezygnować z umowy o internet z ta firma .
Sprawa jest dość poważna nawet powstała już strona na Facebook https://www.facebook.com/antyhyperion
czy dane klientów z regionu łódzkiego też wyciekły, bardzo proszę o informacje
Wyciekły dane klientów ze wszystkich regionów.
Tyle razy prosiłem ich o zwiększenie bezpieczeństwa witryny eBOA – bezskutecznie.
A teraz są efekty :(
i co teraz chyba z was zrezygnuje Sylwekx to była firma bez problemów a wy na giełde wchodzicie i co?
i jak się mam u was zalogować?
No i się doigrali. Ja też jestem klientem Hyperion. Miejmy nadzieję, że ten kto to zrobił ma jakiś rozsądek i chciał wyłącznie sprawdzić swoje możliwości.
Mam podejrzenie co do tego, jacy dwaj konkretni faceci stoją za tym wyciekiem.
Jak zwracałem im uwagę, że źle jest strona zabezpieczona (a co za tym idzie i pozostałe wszelkie „dojścia” użytkowników zewnętrznych, to później mówili, że nic nie ma odnotowanego. Jeśli moje dane tam są, a wiem co i gdzie podpisuję i ktoś „załatwi” przykładowo pożyczkę na mnie, o której nic nie będę wiedział – WIEM, KTO ZA NIĄ BĘDZIE PŁACIŁ ! HYPERION ! W sumie to i tak jakieś odszkodowania się nam należą !!!
A jak sprawdzić, czy na tej liście nie ma mojego nazwiska? Też jestem użytkownikiem MNI vel Hyperiona