Jak informuje administrator serwisu www.pitwgdansku.pl w oficjalnym oświadczeniu, dane podatników, którzy rozliczali PIT za pośrednictwem wymienionego portalu, zostały wykradzione w nieznany sposób. Komunikat na temat cyberataku zdradza bardzo niewiele, ponieważ wspomina o „uzyskaniu dostępu do pliku technicznego”.

Możemy się tylko domyślać, czym ów jest plik techniczny i co mógł zawierać. Poświadczenia lodowania do bazy danych? Nie należy odrzucać takiej teorii, ponieważ w przeszłości zdarzały się nie mniej karygodne błędu, które doprowadziły do uzyskania dostępu do danych poprzez kradzież poświadczeń logowania, które były zapisane na komputerach nieszyfrowanym tekstem.

W związku z cyberatakiem na serwis www.pitwgdansku.pl i/lub komputer administratora, na którym mogły być zapisane dane dostępu do bazy, podatnicy korzystający z portalu powinni otrzymać poniższe oświadczenie na adres e-mail:

Szanowni Państwo

zgodnie z obowiązującymi przepisami z przykrością informujemy, że otrzymaliśmy zawiadomienie od osoby, która twierdzi, że weszła w posiadanie Państwa danych osobowych, poprzez uzyskanie dostępu do pliku technicznego loterii “PIT w Gdańsku. Się opłaca!”.
Plik zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.
Potencjalnie to zdarzenie może rodzić dla Państwa konsekwencje w postaci otrzymywania niechcianej korespondencji na adres e-mail, możliwość otrzymywania niechcianych sms-ów oraz telefonów, prób podszycia się poprzez wykorzystanie imienia i nazwiska, numeru PESEL – daty urodzenia.

Zastosowano niżej wskazane środki w celu zaradzenia naruszeniu ochrony danych osobowych w celu zminimalizowania jego ewentualnych negatywnych skutków.

Usunięto plik techniczny z danymi, ograniczano dostęp do plików na stronie, wprowadzono obowiązek formalnego weryfikowania konfiguracji i potwierdzania jej prawidłowości przez drugą osobę, wystąpiono z żądaniem nieodtwarzalnego wykasowania pliku z danymi osobowymi przez osobę, która weszła w jego posiadanie oraz wystąpiono do niej z prośbą o zachowanie poufności danych. Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych oraz organy ścigania (Policję i Prokuraturę) w zakresie podejrzenia popełnienia przestępstwa w ww. zakresie.

Więcej informacji mogą Państwo i uzyskać na stronie www.pitwgdansku.pl/info.html , pod adresem e-mail [email protected] lub dzwoniąc na numer 566539877 ( w dniu 30 kwietnia czynny do godz 21:00 , od 06.05.2019 dostępny w dni robocze w godzinach 09:00 do 16:00)
Z poważaniem,
Administrator Danych Osobowych
Playprint Polska Sp. z o. o.
87-100 Toruń
ul. Stroma 5/1
e-mail: [email protected]
numer infolinii: 566539877

Komunikat o wycieku danych z portalu www.pitwgdansku.pl
Komunikat o wycieku danych z portalu www.pitwgdansku.pl

A więc jest to niebagatelny incydent, ponieważ ów plik techniczny zawierał dane w postaci: imienia i nazwiska, numeru PESEL, numeru telefonu , adresu e-mail, miejsca złożenia deklaracji PIT.

Te dane w zupełności wystarczą np. do przedstawienia np. w salonie tele-operatora i wydania np. duplikatu karty SIM, co może wywołać efekt lawiny: przestępca będzie miał dostęp do jednego z czynników potwierdzających operacje bankowe. Na adresy e-mail i numery SMS mogą spływać wiadomości socjotechniczne wykorzystujące wyciek do pozyskania kolejnych informacji.  

Poszkodowani mogą wnieść skargę do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych, korzystając ze strony https://uodo.gov.pl/pl/p/kontakt, jak również możliwy jest kontakt z inspektorem danych portalu pitwgdansku.pl pod adresem email: [email protected]

Komunikat o ataku dostępny jest na stronie: https://www.pitwgdansku.pl/media.html

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz