Wirtualni operatorzy telefonii komórkowej obsługują w Polsce z grubsza kilkaset tysięcy klientów. Po wprowadzeniu obowiązkowej rejestracji kart pre-paid zgodnie z wymaganiami tzw. ustawy terrorystycznej każdy klient, już nie tylko ten abonamentowy, musi zostawić u operatora swoje dane osobowe. W przypadku pre-paid są to tylko podstawowe informacje (głównie imię, nazwisko i PESEL, czyli dane niepoufne). W przypadku klientów kontraktowych sytuacja jest już bardziej złożona i potencjalnie o wiele bardziej niebezpieczna. A ostatnie wydarzenia każą się mocno zastanowić nad tym, czy nasze dane osobowe są u małych operatorów bezpieczne.
Pierwsza spektakularna i głośna wpadka w zakresie ochrony i bezpieczeństwa danych osobowych u operatorów MVNO miała miejsce w okresie Świąt Bożego Narodzenia w 2019 roku. Wtedy to sieć komórkowa Virgin Mobile poinformowała w SMS-ach rozsyłanych do klientów znajdujących się być może przy świątecznych stołach, że… hakerzy przejęli ich dane osobowe (więcej >>). Wtedy wg komunikatu operatora dotyczyło to danych rejestrowych, a więc klientów pre-paid, dzięki czemu przestępcy mieli do wglądu głównie tylko podstawowe dane osobowe, jak np. imię, nazwisko, PESEL i numer telefonu. Dotyczyło to też tylko części użytkowników (12,5%). Incydent nie dotknął klientów abonamentowych.
Virgin Mobile to dopiero początek
Znacznie poważniej wygląda jednak drugi spektakularny incydent tego typu, który miał miejsce niedawno, bo miesiąc temu (w sierpniu 2021 r.). W tym okresie dwaj operatorzy – Premium Mobile (wraz ze swoją marką a2mobile) oraz NAU Mobile – poinformowali o wykryciu u jednego z podwykonawców tychże operatorów złośliwego oprogramowania, które – to ciekawe – niosło za sobą „potencjalne” ryzyko przejęcia przez przestępców wrażliwych danych osobowych klientów (więcej >>).
Dziwaczny komunikat Premium Mobile i NAU Mobile
Tu chciałbym się zatrzymać na nieco dłużej, bo co – na Boga – znaczy stwierdzenie „potencjalnie”? Ja rozumiem to tak, że wykryto w systemie jakieś złośliwe oprogramowanie, które dało przestępcom możliwość wykradzenia danych, ale nie wiadomo, czy ci przestępcy z tego skorzystali… Może czegoś nie wiem, może jestem niesprawiedliwy, ale samo tłumaczenie się jest dla mnie dość kuriozalne. Ale to moje zdanie. Jeśli jednak nie mam racji, to trzeba przypomnieć, że minął już miesiąc od incydentu i chyba czas najwyższy wreszcie zakomunikować klientom co tak naprawdę się stało i w jakiej skali. Tyle czasu to chyba wystarczająco długo, żeby ustalić wszystkie okoliczności i przedstawić je opinii publicznej lub przynajmniej klientom.
Ten „potencjalny” wyciek danych osobowych z Premium Mobile, a2mobile i NAU Mobile ma jeszcze jeden niepokojący aspekt – dotyczy to również (a nawet głównie) klientów abonamentowych. Tu sytuacja jest o wiele poważniejsza, gdyż operatorzy w takich przypadkach zbierają i przechowują dużo więcej danych osobowych (choćby z uwagi na konieczność weryfikowania klienta pod kątem wiarygodności płatniczej w rejestrach dłużników). Tak więc oprócz podstawowych danych (imię, nazwisko, PESEL, numer telefonu) dochodzą też inne, jak np. adres zamieszkania, seria i numer dokumentu tożsamości, adres e-mail, NIP/REGON (jeśli firma), czy wreszcie numer rachunku bankowego (z którego klient opłaca FV), a więc tym samym też nazwa banku, w którym klient ma rachunek. To już duży kaliber i w zasadzie kompletne dane osobowe dla przestępców. W komunikatach operatorów w tym przypadku niestety nie ma ani słowa, że dotyczy to tylko części klientów, a warto przypomnieć, że sam Premium Mobile to kilkaset tysięcy kart SIM (abonamentowych).
Czy dane u MVNO są bezpieczne?
Zaznaczam, że nie chcę teraz generalizować. Na świecie, w tym i w Polsce, miało miejsce mnóstwo wycieków danych osobowych, również u gigantów, czyli ogromnych firm i korporacji. Nie zawsze jednak szło to w parze z tym, że wyciekały również spektakularne dane osobowe (kompletne), bo np. dotyczyło to np. tylko informacji związanych z założeniem gdzieś swojego konta (np. sklep internetowy). Oczywiście też nie zawsze tak jest i spektakularne wycieki danych osobowych u tych „dużych” też miały na świecie miejsce. Jednak jednego wytłumaczyć sobie nie potrafię i być może dlatego będę teraz surowy dla operatorów MVNO – jak to możliwe, że krytycznych danych osobowych swoich klientów nie mogą upilnować firmy obsługujące stosunkowo niewielką ilość klientów? W przypadku mniejszych baz powinno być to wg mnie teoretycznie łatwiejsze.
I tu możemy powoli zbliżać się do spróbowania znalezienia odpowiedzi na to pytanie. Niskie ceny, silna konkurencja, balansowanie na granicy rentowności (albo nawet i nie), ciągłe szukanie daleko idących oszczędności, zatrudnianie niewielkiej liczby pracowników, ciągłe poleganie na podwykonawcach (zewnętrznych firmach), fuzje, zmiana właścicieli, niekiedy zmiana podwykonawców, … – to wszystko z pewnością może mieć wpływ na to, co się w ciągu ostatnich niespełna dwóch lat stało. I mnie to niepokoi. Skłaniam się powoli ku stwierdzeniu, że coś robione jest tu nie tak. Obawiam się też, że może być coraz gorzej. Naprawdę chciałbym się mylić.
Od 2013 roku nieprzerwanie korzystam z usług sieci MVNO (na głównym numerze). Jeden z moich operatorów, w którym swego czasu miałem numer w ofercie pre-paid, padł ofiarą takiego ataku. Moje dane wówczas na szczęście nie wypłynęły (tak przynajmniej zapewniał operator). Teraz korzystam z innego MVNO i ten jeszcze nigdy nie miał incydentów tego typu. Staram się jednak korzystać wyłącznie z ofert pre-paid (miałem tylko jeden incydent abonamentowy w tym czasie). Tak jest w moim odczuciu dużo bezpiecznej, gdyż w grę wchodzą wyłącznie dane osobowe, które w zasadzie są powszechnie dostępne (bo PESEL danej osoby można w stosunkowo prosty sposób uzyskać, nie jest to informacja poufna). W obecnej sytuacji poważnie zastanowiłbym się nad zakupem oferty abonamentowej w niszowej sieci MVNO, właśnie z uwagi na moje malejące zaufanie do procedur bezpieczeństwa w tychże firmach, które korzystając z usług zewnętrznych firm (nierzadko na zasadzie „im taniej, tym lepiej”) nie do końca są w stanie wszystko samodzielnie kontrolować.
Zainteresowany sekcją “blog”? Zajrzyj tutaj >>. Więcej informacji o telekomunikacji można znaleźć również na naszym Facebooku oraz Twitterze.
Wpisy w sekcji BLOG są prywatnymi opiniami Autora.
Dobry artykuł. Brawo dla autora!
> jak to możliwe, że krytycznych danych osobowych swoich klientów nie mogą upilnować firmy obsługujące stosunkowo niewielką ilość klientów? W przypadku mniejszych baz powinno być to wg mnie teoretycznie łatwiejsze. Moim zdaniem jest wręcz przeciwnie. Zabezpieczanie (pod względem bezpieczeństwa, nie np. dostępności) bazy danych lub innych aplikacji jest praktycznie tak samo trudne w małej, jak i dużej skali, więc wymaga podobnego nakładu środków. Więc siłą rzeczy fundusze na ochronę „małej bazy” będą do pewnego stopnia proporcjonalnie mniejsze, bo dane te przynoszą mniejszy zysk. A gorsza jakość zabezpieczeń sprawia, że właśnie do tego typu „małych aplikacji” łatwiej się włamać i stąd… Czytaj więcej »