(AKTUALIZACJA) Premium Mobile, a2mobile, NAU Mobile – kolejny atak hakerski i przejęcie wrażliwych danych osobowych?
Kilka marek telefonii komórkowych poinformowało, że hakerzy prawdopodobnie przejęli właśnie wrażliwe dane osobowe ich klientów. Wśród poszkodowanych m. in. Premium Mobile, który świadczy również usługi (pre-paid) pod marką a2mobile. O ataku hakerskim poinformowała też mniej znana sieć MVNO NAU Mobile. Ta ostatnia w ramach rekompensaty zaoferowała klientom darmowe Alerty BIK (więcej >>).
Po słynnej świątecznej kompromitacji Virgin Mobile (więcej >>), podczas której operator do klientów znajdujących się przy świątecznym stole wysyłał SMS-y informujące, że hakerzy przejęli ich wrażliwe dane osobowe, wydawać by się mogło, że teraz konkurenci poczynią starania, aby takie zdarzenia nie dotknęły ich abonentów. Nic z tego. Kolejny atak hakerski, kolejna kompromitacja i prawdopodobnie kolejne wrażliwe dane osobowe klientów w niepowołanych rękach. Tym razem sprawa dotyczy na pewno Premium Mobile (wraz z a2mobile) oraz sieci NAU Mobile. Ten ostatni operator zaoferował swoim klientom darmowy dostęp do usługi Alert BIK (więcej >>). Ponieważ incydent dotyczy jednego ze sporych podwykonawców może okazać się, że lista ta jeszcze nie jest zamknięta. To ustalamy. Niektóre strony operatorów MVNO mogą wskazywać, że również te firmy są ofiarami ataku hakerów, ale do czasu niezbitego potwierdzenia tych informacji nie będziemy podawać tu żadnych nazw firm.
Wyciekły wrażliwe dane osobowe?
Komunikaty umieszczone na stronach internetowych operatorów brzmią dość poważnie. 9 sierpnia b.r. (potwierdzenie miało miejsce 11 sierpnia) wykryto złośliwe oprogramowanie u jednego z dostawców niektórych usług dla operatorów telefonii komórkowej. Istnieje prawdopodobieństwo, że zdarzenie skutkowało nieuprawnionym dostępem do bazy danych klientów, a to oznacza nic innego, jak dostęp do wrażliwych danych osobowych abonentów. W przypadku klientów pre-paid zbierane są głównie tylko imię, nazwisko i numer PESEL, ale w przypadku klientów ofert abonamentowych sytuacja może być poważniejsza, ponieważ tu dochodzą jeszcze inne informacje, jak np. numer rachunku bankowego, adres e-mail, adres zamieszkania, dane z dokumentów tożsamości (w tym seria i numer dokumentu), NIP/REGON, itp. Potencjalne skutki mogą być dla klientów poważne. Operatorzy wymieniają m. in. kradzież tożsamości, wyłudzanie pożyczek, czy dostęp do środków finansowych klienta. Z doświadczenia jednak wiemy, że najgroźniejsze mogą okazać się tzw. ataki phishingowe. W przypadku tych ostatnich trzeba zachować czujność i nie podawać żadnych dodatkowych danych przez internet oraz uważać na wszelkie podejrzane wiadomości e-mail oraz SMS.
Co mają robić klienci?
Operatorzy sugerują niektóre rozwiązania, które mogą pomóc w zabezpieczeniu się przed poważnymi konsekwencjami. W propozycjach mniej daleko idące działania, jak np. zmiana haseł do panelów klienta i kont e-mail + czujność, oraz te bardziej daleko idące, jak np. zastrzeżenie dokumentu tożsamości i jego wymiana, czy wykupienie tzw. alertów BIK. Te ostatnie rzeczy to już koszty dla klientów. Przede wszystkim jednak należy zachować czujność – ostrożnie postępować z podejrzanymi wiadomościami e-mail (szczególnie z załącznikami w nich zawartymi), być czujnym podczas ewentualnych podejrzanych rozmów telefonicznych, czy też pod żadnym pozorem nie otwierać linków znajdujących się w przychodzących dziwnych wiadomościach SMS. Te podstawowe środki bezpieczeństwa naprawdę dużo mogą pomóc.
W przypadku szczegółowych informacji klienci powinni kontaktować się bezpośrednio ze swoim operatorem, gdzie uzyskają informacje o tym czy i jakie dane osobowe mogły zostać przejęte. Incydenty zostały zgłoszone Prezesowi UODO. Operatorów najprawdopodobniej spotkają kary.
To nie pierwsza taka sytuacja
To niestety nie pierwsza taka sytuacja w ostatnim czasie. Jak pisaliśmy na samym początku w grudniu 2019 roku podobna sytuacja dotknęła część klientów Virgin Mobile, Wtedy jednak w niepowołane ręce dostały się dane tylko części klientów operatora. Teraz sytuacja może być poważniejsza, ponieważ w komunikatach operatorów nie ma nic, co mogłoby sugerować, że dotyczy to tylko części klientów. Warto dodać, że Premium Mobile to największy obecnie polski MVNO z bazą klientów na poziomie kilkuset tysięcy.
Problemy MVNO z zabezpieczeniem danych osobowych?
Ostatnie wydarzenia każą się zastanowić nad bezpieczeństwem korzystania z operatorów MVNO. Dbałość i bezpieczeństwo danych osobowych klientów powinno być najwyższy priorytetem dla operatorów. Tak z pewnością jest, ale może nie zawsze to wychodzi? Konkurencja, oszczędności, korzystanie z usług podwykonawców… To wszystko może powodować kolejne takie incydenty w przyszłości. Ten temat z pewnością zostanie poruszony na naszym blogu w nadchodzącym tygodniu.
Źródło/Fot: Premium Mobile, NAU Mobile / wł
