Wyciek danych klientów jednego z operatorów. Firma uspokaja

Prywatne dane klientów Plusa mogły być zagrożone. Sprawa dotyczy tak ważnych informacji jak numer Pesel czy adres zamieszkania. Powodem tego stanu rzeczy była nieodpowiednio zabezpieczona domena. Jak poinformował operator sieci Plus, błąd został naprawiony, a firma nie stwierdziła niebezpiecznych i nieuprawnionych działań wobec większej liczby klientów.

  • Mikołaj Frączak
  • /
  • 19 października 2021

Wyciek danych klientów Plusa

W mediach pojawiła się informacja, że dane klientów operatora sieci Plus mogły być zagrożone, a błąd wynikający z nieodpowiednio zabezpieczonej domeny mógł doprowadzić do wycieku danych. Co więcej, sytuacja ta trwała od miesięcy i dopiero niedawno została zabezpieczona. Tak długi okres oczekiwania wynikał wprost z faktu, że dopiero w ostatnich dniach cyberprzestępcy wykryli tę lukę, a operator zaczął odbierać alerty dotyczące tego zdarzenia/ O problemie poinformował jako pierwszy serwis Niebezpiecznik.pl. Plus to jeden z największych polskich operatorów. Według danych z II kwartał 2021 roku posiada 18 milionów klientów w ramach sieci Plus i posiadaczy kart Plush.

Wyciek danych klientów sieci Plus – na czym polegał?

Problem dotyczył interfejsu programowania aplikacji. W wyniku niezamierzonego błędu informacje o klientach były dostępne dla każdego w niezabezpieczonym interfejsie oprogramowania aplikacji (API) api.plus.pl/api oraz api.plushbezlimitu.pl/api. Co to oznacza dla klientów? W przypadku ataku hakerskiego lub nieuprawnionego dostępu do API cyberprzestępcy mogli pozyskać dane dotyczące użytkowników sieci.

Obowiązek powołania Inspektora Ochrony Danych OsobowychObowiązek powołania Inspektora Ochrony Danych OsobowychRafał Stępniewski

Dotyczy to zarówno numerów telefonów, jak i danych osobowych w postaci numerów PESEL czy adresów zamieszkania. Jak poinformował serwis Niebezpiecznik.pl przez  błąd w API można było poznać:   imię i nazwisko, adres zamieszkania, numer dokumentu, numer identyfikacyjny (PESEL) / nr dokumentu oraz adres e-mail.

Okazało się też, że luka w interfejsie API jest dużo starsza, niż mogłoby się wydawać. Prawdopodobnie zagrożenie pojawiło się jeszcze

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

w czerwcu 2021 roku, jednak cyberprzestępcy dopiero niedawno odkryli tę możliwość, a operator zaczął otrzymywać odpowiednie alerty z tym związane.

Wyciek danych klientów Plusa – operator reaguje

Sprawę skomentował także operator sieci Plus: Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.

Wyciek danych – obowiązek poinformowania UODO

Wyciek danych nie jest przyjemną informacją dla żadnego administratora, tym bardziej dużego gracza na rynku telekomunikacyjnym. Teraz zadaniem Plusa jest poinformowanie klientów, którzy mogli paść ofiarą hakerów o tym, że ich dane nie są  bezpieczne. Plus zawiadomił też odpowiednie organy, czyli zgłosił zdarzenie do UODO.

Warto przypomnieć, że zgodnie z polskim prawem każdy administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych. Zgłoszenia można dokonać zarówno elektronicznie, jak i za pośrednictwem poczty.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!