Wyciek wrażliwych danych osobowych części klientów wirtualnej sieci komórkowej Virgin Mobile Polska to mocny cios w i tak nienajlepszy wizerunek tej marki telekomunikacyjnej oraz kompromitacja spółki. Kompromitacja m. in. dlatego, że operator informując o zdarzeniu w Święta Bożego Narodzenia zepsuł dla części swoich klientów świąteczny spokój i nastrój. Niezwykle trudno będzie teraz wizerunkowo z tego wybrnąć. Tym bardziej, że w całej sprawie pozostało dużo pytań i wątpliwości.
Wyciek danych osobowych części klientów Virgin Mobile Polska nastąpił – wg informacji podanych przez operatora – w dniach 18-22 grudnia b.r. (więcej na ten temat >>). Zdarzenie miało dotyczyć 12,5% dokonanych rejestracji kart Pre-Paid (czyli 1/8). Wg zapewnień operatora spać spokojnie mogą klienci abonamentowi spółki. To akurat dobra wiadomość, gdyż operator posiada znaczniej więcej danych osobowych takich klientów (m. in. adres zamieszkania i numer dokumentu tożsamości). W przypadku kart pre-paid zbierane są tylko: imię, nazwisko, PESEL (lub, jeśli ktoś nie posiada numeru PESEL, seria i numer dokumentu tożsamości). Aczkolwiek też nie jest tak do końca, gdyż dodatkowe dane mogą podać sami użytkownicy, np. rejestrując się na stronie operatora. Ale przejdźmy do rzeczy, czyli do wątpliwości.
Czas poinformowania poszkodowanych klientów
Dziwi mnie to, że operator zdecydował się na poinformowanie klientów właśnie w pierwszy i drugi dzień Świąt Bożego Narodzenia (wg informacji od Czytelników SMS-y miały przychodzić jeszcze dzisiaj). To jest bardzo mocno kompromitujące w oczach klientów, którzy chcieliby mieć spokojne święta i którzy spodziewaliby się raczej świątecznych życzeń od Virgin Mobile. Groźnie brzmiący SMS informujący o wycieku danych osobowych i nie wyjaśniający niemal nic spowodował spore zamieszanie i zakłopotanie, a nawet lekką panikę. Operator musiał mieć ważne powody, aby zrobić to akurat teraz. Rodzi się tu kilka pytań. Wg komunikatu spółki atak hakerski miał miejsce w dniach 18-22 grudnia b.r. Przedział czasowy nasuwa kolejne pytania. Czy atak miał miejsce 18 grudnia, zaś został wykryty dopiero 22 grudnia? Czy może hakerzy mieli dostęp do systemu operatora i tym samym danych klientów aż przez 5 dni? Kiedy atak został wykryty? Czy 22 grudnia, czy dopiero w święta (wg mnie mało prawdopodobne)? I wreszcie dlaczego informacja do poszkodowanych klientów zaczęła trafiać dopiero po kilku dniach od zdarzenia? Nie wiemy, czy właśnie w pierwszym dniu Świąt Bożego Narodzenia operator wszedł w posiadanie informacji o ataku, czy może celowo zwlekał z taką informacją do świąt, w czasie których ludzie mają inne zajęcia, dzięki czemu o kłopotach operator dowie się mniej osób. Jeśli natomiast operator dowiedział się o wszystkim dopiero 25 grudnia, to kogo był w stanie skutecznie zawiadomić w pierwszy dzień świąt (jakie instytucje i urzędy)?
Forma informowania poszkodowanych osób
Operator zgodnie z prawem musiał poinformować klientów (i byłych klientów) o zaistniałej sytuacji. Zrobił to za pomocą wiadomości SMS rozsyłanych do osób dotkniętych atakiem. Tu pojawiają się kolejne wątpliwości. Otóż nie wszyscy obecni klienci muszą mieć zalogowane do sieci karty SIM. Wiele osób karty trzyma od dawna w „szufladzie”. Są aktywne, ale nieużywane, co jest częste w ofertach na kartę. Ponadto jest jeszcze jedna grupa klientów, która była w Virgin Mobile, ale przeniosła jakiś czas temu swój numer telefonu do innej sieci (dane osobowe jednak zostały w systemie Virgin Mobile). Zapytałem, czy operator stosował tu inne kanały komunikacji. Nie stosował. Nie udało mi się do chwili obecnej dowiedzieć tego, czy takie SMS-y były wysyłane również na byłe numery telefonów Virgin Mobile, które dzisiaj działają już w innych sieciach. Reasumując, wielu obecnych i byłych klientów dotkniętych problemem może wcale o tym nie wiedzieć. Operator byłym klientom oraz tym, którzy nie mają już zalogowanych do sieci kart SIM, radzi kontakt z biurem obsługi klienta (CMOK). Tu może być problem, gdyż czas oczekiwania na połączenie z konsultantem może się znacznie wydłużyć.
Co konkretnie wyciekło?
W komunikacie operatora jest mowa o danych rejestracyjnych Pre-Paid. Powinny być to więc tylko imię, nazwisko oraz numer PESEL (lub w przypadku np. obcokrajowców numer dokumentu potwierdzającego tożsamość, np. paszportu lub karty pobytu). Pojawiają się jednak informacje, że część użytkowników może być w sytuacji, że hakerzy weszli jednocześnie w posiadanie numeru PESEL oraz numeru dokumentu tożsamości. A takie coś to już dość poważna rzecz. Nie wiem czy to prawda, jednak na pewno wzbudza to dodatkowe niepokoje wśród klientów operatora. Najlepiej jest, pomimo utrudnionego kontaktu, spróbować zadzwonić na infolinię operatora i zapytać o szczegóły odnośnie swojej osoby. Komunikat spółki sugeruje, że inne dane użytkowników (np. te zbierane podczas zakładania konta w serwisie internetowym) są bezpieczne i że wyciekły wyłącznie dane zbierane na podstawie art. 60 b ustawy prawo telekomunikacyjne (czyli imię, nazwisko, PESEL lub numer dokumentu tożsamości).
Najważniejsze – nie panikować!
Obserwuję od wczoraj to, co robią klienci Virgin Mobile (lub co wg ich wpisów zamierzają robić) i jestem tym mocno zaniepokojony. W takich przypadkach najważniejsze to zachować mimo wszystko spokój, bo można wpakować się w znacznie poważniejsze kłopoty. O ile zastrzeżenie dowodu osobistego to jedynie narażenie się na dodatkowe koszty związane z jego wymianą, o tyle rejestracja i zakładanie kont w serwisach mających rzekomo uchronić nas (lub ostrzec) przed zaciągnięciem na nasze dane pożyczek, jest mocno ryzykowne. A już zwłaszcza ryzykowne jest wówczas, kiedy taki serwis wymaga od nas… wysłania skanu dokumentu tożsamości w celu weryfikacji. Na Boga, przecież takie dane również mogą wyciec i narobi to jeszcze więcej kłopotów. Rozumiem, że firmy zajmujące się tego typu usługami będą chronić takich danych jak oka w głowie, ale wszystko jest w dzisiejszych czasach możliwe. Nieroztropne rejestrowanie się teraz w różnych serwisach w najlepszym razie może narazić taką osobę na kolejne niepotrzebne koszty z tym związane. Tym bardziej, że osoba w panice może nie do końca wiedzieć co i gdzie podaje.
Z komunikatu operatora wynika, że wszelkie procedury zostały zachowane. Pozostaje więc zachowanie czujności. Osobiście zalecam na pierwszym miejscu kontakt z obsługą klienta operatora, aby dowiedzieć się czy i jakie konkretnie dane osobowe wyciekły. Jeśli tylko imię, nazwisko oraz PESEL, pozostaje być tylko czujnym na próby wyłudzenia innych danych (podejrzane SMS-y, telefony itp). Jeśli jednak okazałoby się, że wyciekły jeszcze inne dane dotyczące naszej osoby (w szczególności seria i numer dowodu osobistego wraz z numerem PESEL), wówczas warto rozważyć zastrzeżenie takiego dokumentu oraz wyrobienie nowego. To niewielkie koszty, których zwrotu można domagać się w reklamacjach u operatora. Rejestracje w serwisach ostrzegających o próbach wzięcia kredytów? Moim zdaniem strata czasu i pieniędzy. W Polsce działają firmy pożyczkowe (a nawet nie tylko firmy), które udzielają kredytów bez żadnej weryfikacji. Po co więc ktoś miałby robić sobie dodatkowe kłopoty?
Można jeszcze upewnić się, czy nikt nie założył na nasze dane np. rachunków bankowych. Jest to dość proste, a informacje na ten temat dostępne są w internecie.
Imię, nazwisko oraz PESEL to za mało dla oszustów, więc ci mogą próbować pozyskać dodatkowe dane. Jak? Mając numer telefonu mogą np. zadzwonić, podać się za operatora i poprosić o dodatkowe dane celem jakiegoś tam ich „uzupełnienia”. Taka prośba może też być SMS-owa, która dodatkowo będzie zawierała jakiś link do niebezpiecznej strony internetowej. I na to należy przede wszystkim uważać.
Należy też mieć nadzieję, że operator stanie na wysokości zadania i wprowadzi dodatkowe środki ostrożności jeśli chodzi o weryfikację tożsamości osób dzwoniących na infolinię operatora. Np. zwykłe pytania o aktualny stan konta, czy posiadana taryfę mogą skutecznie uchronić klientów przed nieuprawnionymi dyspozycjami (np. wnioski o duplikaty kart SIM w celu przejęcia numeru telefonu).
Reasumując – zwracajcie uwagę na nietypowe rzeczy! Podejrzane telefony (np. od operatora lub z banku), podejrzane SMS-y, itp. Nie reagujcie na nie i tym bardziej nie podawajcie nikomu dodatkowych danych! Jeśli jednak macie pewność, że właśnie padacie ofiarą oszustów, zgłoście sprawę na policji.
Ogromny cios w wizerunek operatora
Virgin Mobile i tak nie ma wg mnie najlepszego wizerunku w Polsce. Awarie, kłopoty finansowe, brak pomysłu na przyszłość, trwanie w miejscu, szykowanie się do sprzedaży marki zewnętrznemu podmiotowi (Play)… A teraz to i to w dodatku w czasie trwania Świąt Bożego Narodzenia. Czy może być jeszcze większa katastrofa? Trudno będzie teraz operatorowi z tego wszystkiego się wygrzebać. Pomimo świąt internet aż huczy o tym, co spotkało sieć Virgin Mobile Polska i część jej klientów. I to już w internecie pozostanie, na lata.
Operatorowi może grozić teraz kara, która z pewnością nie pomoże znajdującemu się w obecnej sytuacji operatorowi. Ale to nie dobro operatora jest tu teraz ważne, tylko dobro i bezpieczeństwo klientów.
Źródło/Fot: wł / Virgin Mobile
Wszystko wskazuje, że włamanie miało miejsce 18.12, a dowiedzieli się 22.12 i wtedy odcięli możliwość pobierania danych. Następnie musieli sporządzić listę klientów dotkniętych wyciekiem, zebrać ich numery w jedno miejsce i dopiero potem wysłać powiadomienia. To mogło potrwać te 3 dni, więc szukanie drugiego dna jest trochę na wyrost. Jak informować byłych klientów jeśli nie ma się ich adresów? Sam nie wiem. Ale SMSy trzeba wysłać wszystkim, odszukać emaile na jakie logowali się do systemu, cześć może mieć adresy z przesyłek kurierskich itp. Jeśli wyciekły tylko dane rejestracyjne, to wymóg podania numeru dokumentu tożsamości dotyczy tylko osób niemających PESELu. Jak… Czytaj więcej »
Tak wygląda państwo prawa w którym trzeba udowodnić komuś winę przed sądem…
A może tak… zwyczajnie to olać, ostatecznie to bank/firma pożyczkowa/telekomunikacyjna na zasadzie ryzyka będzie ponosić stratę, że niedostatecznie zweryfikowała potencjalnego klienta i udzieliła świadczenia fałszywej osobie. W przypadku sprawy spornej to firma musiałaby udowodnić, że dała coś nam a nie złodziejowi podszywającymi się pod nas, a udowodnić nie ma jak, bo przecież to nie my. W razie pojawienia się problemu możemy zgłosić do prokuratury próbę wyłudzenia na naszą niekorzyść i uzyskamy status poszkodowanych. Po co się martwić na zapas. Po co się martwić za innych. My nic złego przecież nie zrobiliśmy i nie złamaliśmy prawa. Media niepotrzebnie nauczyły nas paniki… Czytaj więcej »
To tak jakbyś powiedział.. „okradli mi dom ale dowiedziałem się o tym po 4 dniach mimo, że cały czas byłem w domu”..
W zakresie wielu danych osobowych, np. imienia, nazwiska nr PESEL i adresu to już zostałem „okradziony” setki razy w przeróżnych sytuacjach, np. takie dane są na każdej papierowej recepcie, które dawałem setkom różnych farmaceutów w dziesiątkach aptek w życiu. Poczucie pewności, że one nigdy nigdzie stamtąd nie wypłynęły mam zerowe. Poczucie pewności, że moje dane nigdy nigdzie nie wypłynęły od pracodawców, urzędów miasta, banków gdzie mam konto, lekarzy, szpitalu, szkoły, uczelni, ZUS-u, urzędów skarbowych, urzędów stanu cywilnego, urzędów celnych, ksiąg wieczystych, komorników mających dostęp do rejestru PESEL (oraz niemal tysiąca innych podmiotów, które mają legalny dostęp do tego rejestru w… Czytaj więcej »
Prawdę mówiąc, to wyciek spowodowany był niewłaściwymi zabezpieczeniami i winny jest tylko Virgin. Były klient prepaid nawet gdy nie ma już numeru to jednak dane pozostawił, jak miał konto na portalu (ale go nie kasował) to również jego dane VM posiada. A może to kolejny krok do przejęcia VM przez Play? Stanowcza za długo to już trwa.. GPO gdy przyszła do VM mówiła o połączeniu od samego początku.
W logice słowo lub to alternatywa – prawdziwa gdy (w tym wypadku) wypłynie jedynie pesel, jedynie numer dowodu albo oba jednocześnie. I tej informacji VIrgin nie podaje. trzeba ją uzyskiwać na własną rękę a wiadomo jak to wygląda. Ciekawym jak wygląda sytuacja osób, które przeniosły numer z abo w innej sieci na prepaid w VM a przeciez tam potrzebny był i pesel i numer dowodu
Zgodnie z rozporządzeniem numer dowodu nigdy nie był i nie jest potrzebny do przeniesienia numeru. Numer dokumentu tożsamości jest wymagany tylko w przypadku braku nr PESEL (chodzi głównie o obcokrajowców). Jeśli Virgin do przeniesienia numeru żądało i PESEL, i nr dowodu jednocześnie, to wyciągali dane nadmiarowe niezgodnie z rozporządzeniem ministra o przenoszeniu numerów. Do przeniesienia numeru poza PESEL, imieniem i nazwiskiem była potrzebna jeszcze jedna dana, ale nie był nią nr dowodu tylko adres korespondencyjny. I tak, on też mógł wyciec. Natomiast obecne rozporządzenie z 2018r. mówi, że adres korespondencyjny do przeniesienia numeru jest wymagany tylko wtedy, gdy wniosek o… Czytaj więcej »
Andrzeju, przenosiłam numer z innej sieci w 2014r. do virgin i musiałam przesłac do virgin ksero dowodu osobistego oprocz oczywiscie podpisanych dokumentów.Wiec wychodzi na to ze jednak nr dowodu osobistego był wymagany do przeniesienia nr
justi, owszem, ksero dowodu wymagali przy przenoszeniu, ale nie dlatego, że był im potrzebny nr dowodu, ale dlatego, że przeniesienie odbywało się „na odległość” i bez sprawdzania tożsamości przez kuriera, więc taki sobie sposób wymyślili na autoryzację, że wniosek składa uprawniona osoba. W podpisywanych dokumentach było pole na nr dowodu, ale zgodnie z prawem wtedy obowiązującym, osoby posiadające PESEL nie powinny nr dowodu wpisywać. Pozostaje kwestią otwartą co z tego ksera tudzież wniosku Virgin wpisywał do systemu, nr dowodu zgodnie z prawem nie powinni, a w praktyce bardzo prawdopodobne, że byli nadgorliwi i wpisywali. Tu masz link do rozporządzenia z… Czytaj więcej »
W ogóle uważam procedury w Virginie postawione na głowie, im drzewa przesłaniają las. Mam taki przypadek: przenosiłem w grudniu numer z NJU do Virgina z końcówka xxx410. Przez nieuwagę wyrzuciłem drugą kartę z NJU o końcówce xxx464 i tu się zaczęła droga przez mękę. Umyśliłem, że skoro wyrzuciłem aktywną kartę, której numer służył mi wyłącznie do kontaktu z bankiem, to najprościej będzie zamiast kupować duplikat SIM w NJU za 25 zł. – przenieść ten numer do Virgina i kwotę 25 zł. zamiast na kartę w NJU przeznaczyć na trzymiesięczne używanie pakietu Mini9. 🙂 Nie z nami takie numery Bruner –… Czytaj więcej »
Ostatnio też w grudniu przenosiłem numer do Virgin. Kurier nawet nie sprawdził mojego dowodu osobistego – czy dokumenty o przeniesienie podpisuję jako właściciel numeru. Oczywiście to wina firmy kurierskiej, ale Virgin powinien jednak egzekwować jakość wykupionej usługi (dostawy).
Może właśnie po to Virgin wprowadził tę weryfikację kodu przesyłanego SMS-em na przenoszony numer. Gdyby nie ona, to wystarczyłoby ukraść komuś telefon i bez jego wiedzy przenieść mu numer do innej sieci. A tak oszuści nie wpiszą kodu z SMS-a, jeżeli nie odblokują skradzionego telefonu.
Jesteś w mylnym błędzie Rafale. 😉 Przeczytaj UWAŻNIE co wyżej napisałem, że nawet gdy ukradniesz sąsiadowi telefon to i tak NIE PRZENIESIESZ numeru mimo posiadanego kodu weryfikacyjnego gdyż DANE OSOBY WNIOSKUJĄCEJ muszą się zgadzać u OBYDWU operatorów, zarówno u starego jak i u nowego. Gdy „ukradniesz komuś” telefon możesz go co najwyżej używać i opłacać o ile to prepaid, nic więcej. ta weryfikacja jest PO NIC!
Jeżeli złodziej ukradnie również dokumenty ofiary, to będzie w posiadaniu wszystkich wymaganych danych. Np. do 2019 prawo jazdy zawierało adres zamieszkania. Dopiero osoby wymieniające prawo jazdy od marca 2019 otrzymają dokumenty bez adresu zamieszkania.
Ba, prawo jazdy zawiera nawet wzór podpisu posiadacza. Dlatego dowód osobisty i prawo jazdy to najcenniejsze dokumenty dla złodzieja.
Zastanów się o czym prawisz. Co z tego, że złodziej ukradnie prawo jazdy i telefon. Również wtedy NIE PRZENIESIE (czyli nie zrobi cesji) na siebie numeru do Virgina. A TYLKO o tym mówimy. Skończ waść… Reasumując weryfikacja SMS w Virginie jest to głupiego robota. Twoje zdanie „Gdyby nie ona, to wystarczyłoby ukraść komuś telefon i bez jego wiedzy przenieść mu numer do innej sieci. ” jest bez sensu.
Wyjaśnij mi zatem, w jaki sposób to, co napisałem, jest bez sensu? Jeżeli złodziej zdobył prawo jazdy z adresem zamieszkania, to dysponuje wszystkimi danymi wymaganymi do przeniesienia. Składając wniosek o przeniesienie w Virgin można wskazać inny adres dostawy. Znam przypadki, że ktoś zamawiał dostawę do firmy, a potem odbierał przesyłkę na parkingu obok firmy, bo się kurierowi spieszyło… Ostatnio przenosiłem numer do Virgin, więc wiem z własnego doświadczenia, że jak kurierowi się spieszy (w grudniu to powszechne), to nie sprawdza dokumentu tożsamości. Kurier poprosił mnie tylko o podpisanie dokumentów i dostałem nową kartę SIM. Równie dobrze te dokumenty mógłby podpisać… Czytaj więcej »