Świąteczny spokój niektórych klientów Virgin Mobile Polska zakłóciły SMS-y rozsyłane przez operatora, w których spółka ujawnia, że doszło do wycieku danych jej klientów. Wywołało to ogromne zaniepokojenie nie tylko obecnych użytkowników tej sieci. Chociaż Virgin się tłumaczy, wciąż pozostaje wiele wątpliwości.
Zobacz: Wyciekają dane klientów Virgin Mobile
Wczoraj operator Virgin Mobile zaczął rozsyłać SMS-y do klientów, w których przyznaje, że doszło do nieuprawnionego dostępu do systemów spółki przez hakerów. Wiadomości miały otrzymać wyłącznie osoby poszkodowane, więc ci użytkownicy, którzy SMS-a nie dostali, mogą na razie spać spokojnie. Informacja o ataku została także opublikowana na profilu Virgin Mobile na Facebooku.
Jak podaje operator, do włamania doszło w dniach 18 – 22 grudnia 2019 roku. Nie jest przy tym jasne, dlaczego Virgin podaje tak szerokie ramy czasowe – najprawdopodobniej dopiero 22 grudnia operator zorientował się, że doszło do zdarzenia, a data została określona orientacyjnie. Możliwe jest też, że atak dokonany został właśnie 18 grudnia i aż do 22 grudnia cyberprzestępcy mieli dostęp do systemu Virgin Mobile. W obydwu przypadkach zastanawia fakt, dlaczego spółka poinformowała swoich klientów i opinię publiczną tak późno. Zdziwienie budzi też to, że działania te zostały podjęte w pierwszy dzień świąt, w dzień wolny od pracy, a nie wcześniej, co utrudnia nie tylko działania odpowiednich służb, ale także w dużym stopniu uniemożliwia wyjaśnienie sprawy poszkodowanym.
Zobacz: CERT Orange ostrzega: cyberprzestępcy „wędkują” w sieci na potęgę!
Zobacz: Zao: niewinna aplikacja deepfake czy nowe narzędzie dla cyberprzestępców?
Zaatakowana została jedna z aplikacji informatycznych operatora, w rezultacie czego doszło do ujawnienia danych rejestrowych zbieranych na podst. art. 60 b ustawy Prawo Telekomunikacyjne. Przechwycone przez nieznanych sprawców dane to imiona, nazwiska, numery PESEL lub numery dokumentu potwierdzającego tożsamość części użytkowników sieci. Jak wyjaśnia Virgin Mobile, dotyczy to wyłącznie 12,5% posiadaczy zarejestrowanych numerów prepaid, za to nie obejmuje abonentów korzystających z oferty abonamentowej, którzy nie dokonywali rejestracji prepaid. Oznacza to także, że osoby, które zmigrowały na abonament z prepaida, a wcześniej podawały swoje dane zgodnie z wymogami rejestracji, również narażone zostały na wyciek danych. Co więcej, pojawiły się uzasadnione obawy, że problem może dotyczyć też osób, które wcześniej korzystały z prepaida w Virgin Mobile, zarejestrowały się w sieci, później jednak przeniosły numer do innego operatora. Te osoby mogły nie otrzymać powiadomień SMS.
Zobacz: Virgin Mobile zmienia cenniki roamingowe. Zmiany są niewielkie
Zobacz: Virgin Mobile: dodatkowe gigabajty w pakietach na kartę
Virgin Mobile Polska informuje, że po wykryciu ataku podjęte zostały działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami. Operator złożył też zawiadomienie do organu nadzoru zgodnie z RODO i zapowiada także zgłoszenie podejrzenia popełnienia przestępstwa do organów ścigania.
Spółka przekonuje, że wzmocniła procedury uniemożliwiające wykorzystanie nielegalnie pozyskanych danych abonentów do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami. Wprowadzone zostać miały dodatkowe i ponadstandardowe środki weryfikacji tożsamości.
Virgin Mobile podkreśla, że incydent jest wynikiem zaplanowanego i umyślnego ataku, oraz zapewnia, że dane abonentów są bezpieczne, a spółka podjęła wszystkie działania wymagane przez RODO. Atakujący nie uzyskał dostępu do baz ani infrastruktury Virgin Mobile Polska, a jedynie do części danych udostępnianych przez pojedynczą aplikację.
Zdarzenie nie tylko wpłynie negatywnie na wizerunek marki, ale niewykluczone, że skończy się nałożeniem kary przez Urząd Ochrony Danych Osobowych. Taki finał miała sprawa podobnego wycieku danych ze sklepu Morele.net. W tamtym przypadku skala zdarzenia była znacznie większa (ponad 2 mln poszkodowanych, w tym bardzo wrażliwe dane osobowe z wniosków ratalnych 35 tys. osób), stąd też kara wyniosła 2,8 mln zł, ale zarzuty dotyczyły podobnej sytuacji, z jaką mamy do czynienia teraz – zastosowanie nieodpowiednich środków technicznych wobec istniejącego ryzyka przechwycenia danych, brak szybkiej reakcji.
Na stronie sieci pojawił się specjalny komunikat informujący o wycieku danych.
Zobacz: Sklep Morele dostał karę od UODO za niewystarczające zabezpieczenia
Zobacz: Morele.net jednak zhakowane. Sklep nocą przyznał, że wyciekły dane osobowe klientów
Temat wycieku danych z Virgin Mobile poruszamy także na naszym forum, w tym temacie.
