Virgin Mobile zgłosiło wyciek danych, który miał miejsce pod koniec zeszłego roku, w okresie świątecznym. Zdarzenie zostało, zgodnie z obowiązującymi przepisami, zgłoszone Urzędowi Ochrony Danych Osobowych. Virgin Mobile w treści zawiadomienia przedstawia szczegóły wycieku, o których nie wspominało wcześniej.
Virgin Mobile zgłosiło wyciek danych
Na stronie internetowej Virgin Mobile pojawiła się treść zawiadomienia o naruszeniu ochrony danych.
Przedstawiciele sieci przypominają, że obowiązek zgłoszenia faktu wycieku wynika w szczególności z:
- art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO)
- art. 174a ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
Zgłoszenie danych następuje ponadto w formie wynikającej z zaleceń prezesa Urzędu Ochrony Danych Osobowych przekazanymi 15 stycznia 2020 r. w odniesieniu do naruszenia ochrony danych z dnia 18 – 22 grudnia 2019.
Szczegóły zdarzenia
Virgin Mobile informuje UODO, że do wycieku doszło w dniach 18-22 grudnia 2019 roku. Informację o wycieku operator powziął 22 grudnia 2019 roku, a
naruszenie polegało na wykorzystaniu jednego z interfejsów aplikacji służącej do generowania wydruku potwierdzenia rejestracji klientów prepaid w założeniu przeznaczonego dla stacjonarnych punktów partnerskich Virgin Mobile
Przedmiotem wycieku w Virgin Mobile były takie dane jak imię i nazwisko, nazwa firmy, numer telefonu, numer PESEL/NIP, czy numer dokumentu potwierdzającego tożsamość (np. numer i seria dowodu osobistego lub numer i seria paszportu).
Dużo ciekawej wyglądają ewentualne skutki, do których dojść może wskutek opisywanego wycieku.
Co grozi użytkownikom?
Jak na swojej stronie wskazuje Virgin Mobile, fakt wycieku danych osobowych może doprowadzić do:
– uzyskania przez osoby trzecie, […] kredytów w instytucjach pozabankowych, ze względu na fakt, że wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
– uzyskania dostępu do korzystania z przysługujących […] świadczeń opieki zdrowotnej oraz do danych o […] stanie zdrowia, z uwagi na fakt, że często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając tożsamość za pomocą numeru PESEL;
– korzystania z […] praw obywatelskich, np. do głosowania nad środkami z budżetu obywatelskiego. W takiej sytuacji osoba, której dane wyciekły, nie miałaby możliwości zagłosowania
– wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne […] konsekwencje w postaci problemów związanych z próbą przypisania […] odpowiedzialności za dokonanie takiego oszustwa;
– zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych (Virgin Mobile przypomina, że rejestracja wymaga osobistego okazania dowodu tożsamości);
– zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu, a następnie zaprzestanie opłacania rachunków i spowodowania negatywnych konsekwencji w postaci zadłużenia (Virgin Mobile przypomina, że zawarcie umowy wymaga osobistego okazania dowodu tożsamości).
Co należy zrobić?
Virgin Mobile zgłosiło fakt wycieku do odpowiednich organów, a także złożyło zawiadomienie o podejrzeniu popełnienia przestępstwa organom ścigania. Do wycieku jednak już doszło, więc należy w miarę możliwości podjąć wszelkie działania, minimalizujące szansę padnięcia ofiarą cyberprzestępców, będących w posiadaniu wrażliwych danych. Operator sugeruje, by:
– założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej. Niektóre takie systemy umożliwiają uruchomienie cyklicznych alertów wybranym kanałem komunikacji (np. sms, e-mail), informujących o zapytaniach o historię kredytową kierowanych przez podmioty finansowe;
– zastrzec dokument tożsamości i wymienić go;
– zgłosić fakt naruszenia właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości.
Reakcja operatora wydaje się odpowiednia.