Klienci sieci Virgin Mobile powinni jak najszybciej podjąć odpowiednie działania. Wiadomo już, jak doszło do wycieku danych

Prywatność i bezpieczeństwo dołącz do dyskusji (87) 20.01.2020
Klienci sieci Virgin Mobile powinni jak najszybciej podjąć odpowiednie działania. Wiadomo już, jak doszło do wycieku danych

Paweł Mering

Virgin Mobile zgłosiło wyciek danych, który miał miejsce pod koniec zeszłego roku, w okresie świątecznym. Zdarzenie zostało, zgodnie z obowiązującymi przepisami, zgłoszone Urzędowi Ochrony Danych Osobowych. Virgin Mobile w treści zawiadomienia przedstawia szczegóły wycieku, o których nie wspominało wcześniej.

Virgin Mobile zgłosiło wyciek danych

Na stronie internetowej Virgin Mobile pojawiła się treść zawiadomienia o naruszeniu ochrony danych.

Przedstawiciele sieci przypominają, że obowiązek zgłoszenia faktu wycieku wynika w szczególności z:

  • art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO)
  • art. 174a ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej

Zgłoszenie danych następuje ponadto w formie wynikającej z zaleceń prezesa Urzędu Ochrony Danych Osobowych przekazanymi 15 stycznia 2020 r. w odniesieniu do naruszenia ochrony danych z dnia 18 – 22 grudnia 2019.

Szczegóły zdarzenia

Virgin Mobile informuje UODO, że do wycieku doszło w dniach 18-22 grudnia 2019 roku. Informację o wycieku operator powziął 22 grudnia 2019 roku, a

naruszenie polegało na wykorzystaniu jednego z interfejsów aplikacji służącej do generowania wydruku potwierdzenia rejestracji klientów prepaid w założeniu przeznaczonego dla stacjonarnych punktów partnerskich Virgin Mobile

Przedmiotem wycieku w Virgin Mobile były takie dane jak imię i nazwisko, nazwa firmy, numer telefonu, numer PESEL/NIP, czy numer dokumentu potwierdzającego tożsamość (np. numer i seria dowodu osobistego lub numer i seria paszportu).

Dużo ciekawej wyglądają ewentualne skutki, do których dojść może wskutek opisywanego wycieku.

Co grozi użytkownikom?

Jak na swojej stronie wskazuje Virgin Mobile, fakt wycieku danych osobowych może doprowadzić do:

– uzyskania przez osoby trzecie, […] kredytów w instytucjach pozabankowych, ze względu na fakt, że wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;

– uzyskania dostępu do korzystania z przysługujących […] świadczeń opieki zdrowotnej oraz do danych o […] stanie zdrowia, z uwagi na fakt, że często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając tożsamość za pomocą numeru PESEL;

– korzystania z […] praw obywatelskich, np. do głosowania nad środkami z budżetu obywatelskiego. W takiej sytuacji osoba, której dane wyciekły, nie miałaby możliwości zagłosowania

– wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne […] konsekwencje w postaci problemów związanych z próbą przypisania […] odpowiedzialności za dokonanie takiego oszustwa;

– zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych (Virgin Mobile przypomina, że rejestracja wymaga osobistego okazania dowodu tożsamości);

– zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu, a następnie zaprzestanie opłacania rachunków i spowodowania negatywnych konsekwencji w postaci zadłużenia (Virgin Mobile przypomina, że zawarcie umowy wymaga osobistego okazania dowodu tożsamości).

Co należy zrobić?

Virgin Mobile zgłosiło fakt wycieku do odpowiednich organów, a także złożyło zawiadomienie o podejrzeniu popełnienia przestępstwa organom ścigania. Do wycieku jednak już doszło, więc należy w miarę możliwości podjąć wszelkie działania, minimalizujące szansę padnięcia ofiarą cyberprzestępców, będących w posiadaniu wrażliwych danych. Operator sugeruje, by:

– założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej. Niektóre takie systemy umożliwiają uruchomienie cyklicznych alertów wybranym kanałem komunikacji (np. sms, e-mail), informujących o zapytaniach o historię kredytową kierowanych przez podmioty finansowe;

– zastrzec dokument tożsamości i wymienić go;

– zgłosić fakt naruszenia właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości.

Reakcja operatora wydaje się odpowiednia.

87 odpowiedzi na “Klienci sieci Virgin Mobile powinni jak najszybciej podjąć odpowiednie działania. Wiadomo już, jak doszło do wycieku danych”

  1. I tyle mamy z pisowskiej ustawy o rejestracji kart sim i pokazywaniu obcym babom z kiosku czy żabki swoich danych. W antyterroryźmie to nie pomoże za to ataki na kioski i wycieki danych będą się zdarzać

  2. Jak to wygląda założenie konta i monitorowania konta w BIKu kosztuje i wyrobienie nowego zdjęcia do dowodu kosztuje.Problem mają Ci których dane wyciekły a nie komu czyli Virgin .
    Każą zblokować dowód osobisty w urzędach a tu nie ma opcji kradzież danych osobowych tylko utrata dowodu lub zniszczenie.Nasuwają się dwa pytania :Czy jest możliwe pozwać operatora o ten wyciek danych osobowych i ile osób będzie miało problemy ?

    • Dorzuciłbym jeszcze koszt wymiany dokumentów (dowodu osobistego) ale zwrot Państwu (organowi administracji publicznej wydającemu dowody w skali Państwa) , dodatkowo sam fakt wycieku i informacji o nim powinien być automatycznie informacją o kradzieży tożsamości, jest problem tylko komu te dane przekazać, organom Państwa – OK, ale np bankom oznaczałoby przekazanie wszystkim pozostałym bankom danych osobowych osób niebędących ich klientami.

    • Moje dane też wyciekły. Założyłem więc konto w BIKu.

      Potrzeba do tego podania danych z dowodu osobistego i nr komórki, oraz przelania 1 zł z konta, które „przedstawia się” Twoim imieniem i nazwiskiem (użyłem konta karty kredytowej, bo „normalne” konto mam wspólne z żoną)
      Po założeniu konta można wybrać opcję alertów przysyłanych na komórkę kiedy ktoś będzie sprawdzał Twoją wiarygodność kredytową (24zł/rok) lub opcję „full”, gdzie można zastrzec, że nie chce się kredytów i zastrzec nr dowodu osobistego (99zł/rok). Bieda, że te zastrzeżenia są skuteczne tylko dla instytucji, które korzystają z BIKu (w przypadku zastrzegania dowodu jest to Związek Banków Polskich).
      Złożyłem jednocześnie wniosek o wymianę dowodu os. W formularzu wybiera się opcję „Inne” i w komentarzu wpisuje powód (np. „wyciek danych od operatora X”). Natomiast nie da się w ten sposób zastrzec aktualnego dowodu os. – pani w poznańskim UM uważa, że można to zrobić tylko na podstawie zgłoszenia kradzieży tożsamości na policję, ale dopóki nikt nie wykorzysta naszych danych to nie ma przestępstwa i nie ma co zgłaszać na policję…

  3. Numery PESEL osób pełniących funkcje w spółkach handlowych są powszechnie dostępne i z jakiegoś niezrozumiałego powodu mało kto się tym przejmuje, a szkoda bo jest to dla nich źródło potencjalnych problemów.

  4. Oczywiście nikt w rzędzie nie pomyśli by ukrócić dawanie chwilówek. Chociażby poprzez wymóg osobistego okazania dokumentu.

  5. Jak i komu można „zgłosić fakt naruszenia właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości.”??
    Byłem klientem virgin ponad rok temu i ostatnio otrzymałem smsa z informacja o wycieku danych. Czy to normalne, że przetrzymywali moje dane nawet po wygaśnięciu umowy? Czy w kontekście RODO nie ma obowiązku usuwania danych byłych klientów?

  6. A jak ktoś nie dost SMS do dziś to co to znaczy? Że nie zostały skradzione dane?
    A jeśli zostały skradzione to zgłosić się na Policję? Wydaje mi się ze to operator powinien teraz zabezpieczyć wykradzione czyli poinformować służby aby te dane wykradzione miały blokadę na różne podejrzane transakcje.

  7. Co znaczy wyciek, virgin mobile powinien wziąść 100%odpowiedzialności za to, kary wypłacić i najlepiej zawinąć interes a tu ten ostatni szary obywatel będzie musiał wszystkiego udawadniac na własny koszt bo takie mamy sądy w polsce

  8. „zgłosić fakt naruszenia właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości.”

    Tzn. komu? Na policję dzwonić?

    • Byłem dzisiaj odebrać nowy dowód osobisty. Dostałem opierdol, że zgłosiłem utratę dowodu a nie utratę danych osobowych. Polecono mi natomiast zgłosić sprawę policji. Co ciekawe już tam byłem. 25 grudnia kiedy tylko dostałem sms-a. Powiedziano mi, że nie może być dwóch zgłoszeń w tej samej sprawie. No cóż, pojadę jeszcze raz.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *