Właściciel sieci sklepów internetowych z asortymentem dla sportowców poinformował o możliwym wycieku danych osobowych. Informację tę przekazał na podstawie art. 34 rozporządzenia o ochronie danych osobowych do wszystkich klientów, których atak może dotyczyć (jeżeli podczas zamówienia podano prawidłowy adres e-mail).
Jest to firma RunSport s.c G. Będkowski S. Krawczyk (NIP 8733174622), która poinformowała o wycieku w związku z cyberatakiem na serwer sklepów zarządzany przez zewnętrznego dostawcę IT. Atakujący mógł uzyskać dostęp do kopii bazy danych: imienia, nazwiska, adresu e-mail, adresu korespondencyjnego i hasła, które jako jedyne było w formie zaszyfrowanej (bcrypt). Pozostałe dane są niestety dla atakującego jawne, możliwe do odczytania.
Udało nam się ustalić, że cyberatak dotyczył następujących sklepów:
- runsport.pl
- sklepdlabiegaczy.pl
- cycleshop.pl
- nwshop.pl
Nie wiemy, jakie środki prawne i techniczne zostały podjęte w celu zapobieżenia dalszym konsekwencjom. Spółka udziela w mailu informacji, aby użytkownicy wykupili alerty BIK i zastrzegli PESEL w aplikacji, na stronie internetowej, w urzędzie gminy lub w banku.
W chwili obecnej jeszcze nie otrzymaliśmy odpowiedzi na zadane pytania:
- W jakich okolicznościach doszło do wycieku?
- Ile łącznie rekordów może dotyczyć wyciek z baz danych (szacunkowo, dokładnie) – jaka jest skala wycieku danych osobowych?
- Jakie formalne kroki zostały podjęte w celu ochrony danych klientów sklepów?
- Jakie kroki techniczne zostały podjęte w celu wyeliminowania podobnego incydentu?
Poniżej informacja graficzna z maila na temat wycieku:
Dodatkowo spółka podaje do informacji, że przestępcy mogą wykorzystać fakt cyberataku i kradzieży danych osobowych w następujący sposób:
- „Próby poszycia się pod Panią/Pana, w tym np. zarejestrowania usług na Pani/Pana dane.
- Założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych),
- Podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej)
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie celem uzyskania dostępu do usług i instytucji, które udzielają informacji przez telefon, po podaniu danych identyfikujących.
- Osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilno-prawnych.
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości.”
Nie wiesz, co możesz zrobić po wycieku danych? Do jakich instytucji możesz się zgłosić?
Pobierając nasz poradnik PDF dowiesz się:
- Co możesz zrobić, jeśli Twoja „cyfrowa tożsamość” została skradziona?
- Co możesz zrobić przed faktem wycieku oraz już (niestety) po ujawnieniu danych?
- Do kogo możesz się zgłosić i od czego zacząć?
- Na policję
- Do banku
- Do urzędu gminy
- Do administratora danych osobowych
- Do Urzędu Ochrony Danych Osobowych (UODO)
- Skorzystaj z Profilu Zaufanego!
- Jak sprawdzić wyciek danych lub adresu e-mail?
- Jak zastrzec kartę płatniczą?
- Dlaczego warto żądać informacji od administratora?
Te oraz inne porady o tej tematyce znajdziesz w poradniku pt. „Jak bezpiecznie funkcjonować w cyfrowym świecie?”
Badanie dla UODO – komentarz AVLab
Aż 70 proc. Polaków deklaruje, że nie wie, kto powinien zająć się negatywnymi konsekwencjami wycieku danych osobowych, a 1/3 z tych, którzy mają świadomość na ten temat, uważa, że musi to zrobić sam poszkodowany. Pozostali wskazują m.in. na policję, UODO oraz inspektorów ochrony danych, oraz oczekują od nich przede wszystkim szczegółowej informacji na temat zdarzenia, oraz rekomendacji dalszych działań.
Tak wynika z badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem UODO.
Zaledwie co trzeci Polak wie, kto w przypadku wycieku danych powinien się zająć neutralizacją jego negatywnych skutków. Respondenci, którzy zadeklarowali, że mają świadomość tego, kto powinien się zmierzyć z tą sytuacją, najczęściej wskazywali służby ścigania (69 proc. wskazań) oraz firmę lub instytucję, która przetwarzała dane osobowe (60 proc.).
Dalej na liście podmiotów, które zdaniem ankietowanych powinny zmierzyć się ze skutkami wycieku danych, znaleźli się Urząd Ochrony Danych Osobowych (ponad 56 proc.) oraz inspektor ochrony danych z instytucji, w której doszło do naruszenia (ponad 44 proc.). Za niepokojące należy jednak uznać prawie 35 proc. odpowiedzi, w których ankietowani uznali, że ze skutkami wycieku powinni sobie radzić sami poszkodowani. Może to świadczyć o tym, że spora grupa osób może w takiej sytuacji poczuć się pozostawiona sama sobie.
Poszkodowani oczekują informacji na temat wycieku!
Osoby, które padły ofiarą wycieku oczekują przede wszystkim jak najszybszej informacji, że doszło do naruszenia ochrony danych osobowych oraz jego zakresu (ok. 60 proc. wskazań). Dodatkowo chętnie usłyszeliby lub przeczytali, co administrator zrobił, aby uniknąć w przyszłości podobnych sytuacji (blisko 57 proc.), a także do kogo mogły trafić dane, które wyciekły (ponad 53 proc.).
Ponad połowa ankietowanych oczekuje również wsparcia prawnego (53 proc.) lub pokrycia jego kosztów oraz wydatków, które będą związane z konsekwencjami naruszenia (52 proc.). Badani chcieliby także dowiedzieć się od administratora, jakie mogą być skutki takiej sytuacji oraz co powinni zrobić, żeby zminimalizować skutki wycieku (ponad 44 proc.). Prawie 40 proc. badanych uważa, że odpowiedzialny za wyciek danych osobowych powinien udzielić poszkodowanym rekompensaty finansowej za poniesione straty lub rabatu na własne usługi.
