Wyciek danych klientów jednego z operatorów. Firma uspokaja
Prywatne dane klientów Plusa mogły być zagrożone. Sprawa dotyczy tak ważnych informacji jak numer Pesel czy adres zamieszkania. Powodem tego stanu rzeczy była nieodpowiednio zabezpieczona domena. Jak poinformował operator sieci Plus, błąd został naprawiony, a firma nie stwierdziła niebezpiecznych i nieuprawnionych działań wobec większej liczby klientów.
- Mikołaj Frączak
- /
- 19 października 2021
Wyciek danych klientów Plusa
W mediach pojawiła się informacja, że dane klientów operatora sieci Plus mogły być zagrożone, a błąd wynikający z nieodpowiednio zabezpieczonej domeny mógł doprowadzić do wycieku danych. Co więcej, sytuacja ta trwała od miesięcy i dopiero niedawno została zabezpieczona. Tak długi okres oczekiwania wynikał wprost z faktu, że dopiero w ostatnich dniach cyberprzestępcy wykryli tę lukę, a operator zaczął odbierać alerty dotyczące tego zdarzenia/ O problemie poinformował jako pierwszy serwis Niebezpiecznik.pl. Plus to jeden z największych polskich operatorów. Według danych z II kwartał 2021 roku posiada 18 milionów klientów w ramach sieci Plus i posiadaczy kart Plush.
Wyciek danych klientów sieci Plus – na czym polegał?
Problem dotyczył interfejsu programowania aplikacji. W wyniku niezamierzonego błędu informacje o klientach były dostępne dla każdego w niezabezpieczonym interfejsie oprogramowania aplikacji (API) api.plus.pl/api oraz api.plushbezlimitu.pl/api. Co to oznacza dla klientów? W przypadku ataku hakerskiego lub nieuprawnionego dostępu do API cyberprzestępcy mogli pozyskać dane dotyczące użytkowników sieci.
Obowiązek powołania Inspektora Ochrony Danych OsobowychRafał Stępniewski
Dotyczy to zarówno numerów telefonów, jak i danych osobowych w postaci numerów PESEL czy adresów zamieszkania. Jak poinformował serwis Niebezpiecznik.pl przez błąd w API można było poznać: imię i nazwisko, adres zamieszkania, numer dokumentu, numer identyfikacyjny (PESEL) / nr dokumentu oraz adres e-mail.
Okazało się też, że luka w interfejsie API jest dużo starsza, niż mogłoby się wydawać. Prawdopodobnie zagrożenie pojawiło się jeszczemożemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wyciek danych klientów Plusa – operator reaguje
Sprawę skomentował także operator sieci Plus: Nie stwierdziliśmy, by w okresie istnienia luki miało miejsce masowe nieuprawnione odpytywanie o dane. Jedyne zarejestrowane zdarzenia związane z tym incydentem, zgodnie z naszymi ustaleniami, dotyczą diagnozowania błędu przez ekspertów, którzy nas o nim poinformowali. Łącznie w tym okresie mówimy o kilkudziesięciu rekordach, których dotyczył nieautoryzowany dostęp.
Wyciek danych – obowiązek poinformowania UODO
Wyciek danych nie jest przyjemną informacją dla żadnego administratora, tym bardziej dużego gracza na rynku telekomunikacyjnym. Teraz zadaniem Plusa jest poinformowanie klientów, którzy mogli paść ofiarą hakerów o tym, że ich dane nie są bezpieczne. Plus zawiadomił też odpowiednie organy, czyli zgłosił zdarzenie do UODO.
Warto przypomnieć, że zgodnie z polskim prawem każdy administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Brak dostępu administratora do danych osobowych jest także naruszeniem ochrony danych. Zgłoszenia można dokonać zarówno elektronicznie, jak i za pośrednictwem poczty.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?