Wyciek danych osobowych klientów firmy telekomunikacyjnej Aero2

Od kilkudziesięciu minut trafiają do nas informacje o komunikacie rozesłanym przez firmę Aero2 do swoich klientów. Jego treść wskazuje, że doszło do wycieku danych osobowych abonentów tego operatora telekomunikacyjnego.

Miłośnicy darmowego internetu na pewno firmę Aero2 znają – to z jej kart SIM korzystali, by internet mieć za zero złotych, choć w umiarkowanej prędkości. Najwyraźniej firmę spotkał przykry incydent – a jako operator telekomunikacyjny mają o tym fakcie obowiązek zawiadomić swoich klientów.

Komunikat Aero2

Do skrzynek użytkowników sieci trafia własnie komunikat o następującej treści:

Szanowni Państwo,
Informujemy, że w dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części Klientów BDI (Bezpłatnego Dostępu do Internetu), która skorzystała z oferty pakietów komercyjnych. Po weryfikacji zgłoszenia i podjęciu przez nas natychmiastowych działań zapobiegawczych pragniemy Państwa zapewnić o bezpieczeństwie danych, których mogło dotyczyć zgłoszenie (imię, nazwisko, dane korespondencyjne, dane adresowe do faktury, e-mail, numer kontaktowy, udzielone zgody biznesowe, numer seryjny karty SIM i kod PUK). Podkreślamy jednocześnie, iż próba nieuprawnionego dostępu nie dotyczyła takich danych, jak: PESEL oraz numer i seria dowodu. Na podstawie uzyskanych dotychczas informacji nie stwierdziliśmy zaistnienia negatywnych skutków próby naruszenia danych osobowych.

Dla zapewnienia najwyższego standardu bezpieczeństwa danych naszych Klientów i realizacji działań profilaktycznych, podjęliśmy natychmiast po otrzymaniu zgłoszenia w dniu 14 marca 2018 r. następujące działania:

Na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenia, które mają na celu uniemożliwianie potencjalnych prób naruszenia dostępu do danych osobowych.
Czasowo zablokowano możliwości wyświetlania danych osobowych Klientów sklepu Pakiety Aero na koncie po zalogowaniu.
Czasowo zablokowano dostęp do Elektronicznego Biura Obsługi Klienta Aero2, jednakże Klienci mieli możliwość dokonania zakupu pakietów poprzez sklep internetowy Aero2 (działający pod linkiem: https://sklep.aero2.pl ).
Poza działaniami wskazanymi powyżej Aero2 w dniu 15 marca 2018 r. zawiadomiło w tej sprawie Generalnego Inspektora Ochrony Danych Osobowych i złożyło zawiadomienie o możliwości popełnienia przestępstwa.

Ponadto Aero2 rekomenduje:

Zweryfikowanie wszystkich loginów i haseł, jakimi się Państwo posługują – z punktu widzenia bezpieczeństwa najlepiej jest używać innych identyfikatorów i haseł w serwisach internetowych i systemach komputerowych.
Zmianę hasła stosowanego w kontaktach z Aero2 – warto zadbać, by było odpowiednio silne.
Nie odpowiadać na maile spamerów ani nieznanych osób i instytucji.
Zawiadomić organy ścigania w przypadku uzyskania informacji o bezprawnym posłużeniu się danymi osobowymi przez podmiot nieuprawniony lub przesłać tego rodzaju zgłoszenie do Aero2 (adres poniżej).
W trosce o bezpieczeństwo Państwa danych wprowadziliśmy dodatkowe działanie ochronne, polegające na konieczności zresetowania Państwa dotychczasowego hasła w Elektronicznym Biurze Obsługi Klienta Aero2 w czasie najbliższego logowania. Jeżeli po zakończeniu przerwy technicznej nie korzystali jeszcze Państwo z serwisu, zachęcamy do zalogowania się i ustanowienia nowego hasła na stronie https://moje.aero2.pl

W przypadku pytań prosimy o kontakt drogą elektroniczną na adres: bok@aero2.pl

Analiza komunikatu

Polscy operatorzy telekomunikacyjni, jako jedyna do tej pory grupa branżowa, mają od kilku lat obowiązek informowania klientów i wyciekach ich danych osobowych. Nie jest to jeszcze skutek RODO – te przepisy mają już swoje lata. Zobaczmy, co tak naprawdę można w komunikacie znaleźć:

  • zgłoszenie incydentu nastąpiło 14 marca (nie znamy daty jego faktycznego wystąpienia),
  • problem dotyczy uzytkowników Bezpłatnego Dostępu do Internetu, którzy skorzystali z oferty pakietów komercyjnych,
  • zakres ujawnionych danych mógł obejmować: imię, nazwisko, dane korespondencyjne, dane adresowe do faktury, e-mail, numer kontaktowy, udzielone zgody biznesowe, numer seryjny karty SIM i kod PUK,
  • zakres nie obejmował danych takich jak PESEL oraz numer i seria dowodu.

Z relacji naszych Czytelników, którzy otrzymali wiadomość od Aero2 wynika, ze faktycznie dokonywali zakupów usług w sklepie internetowym tej firmy. Incydent wygląda na poważny i prawdopodobnie mógł być związany z Elektronicznym Biurem Obsługi Klienta, ponieważ to właśnie do tej usługi firma tymczasowo zablokowała dostęp.  Co najmniej jeden Czytelnik wskazał, że nie logował się do biura obsługi klienta. Firma prosi także o reset hasła w tej usłudze – co ciekawe, hasło do EBOK nie zostało wymienione na liście ujawnionych danych klientów.

Dlaczego firma poinformowała o wycieku własnie dzisiaj? Wymagają tego przepisy – operator ma bowiem obowiązek poinformować klientów w ciągu trzech dni od ujawnienia incydentu:

Art. 174a.
W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.

Będziemy próbowali uzyskać dodatkowe informacje od Aero2, ponieważ komunikat jedynie wyczerpuje wymagania ustawowe, a nie opisuje szczegółów incydentu. Do Aero2 wysłaliśmy następujące pytania:

  1. Kiedy miał miejsce incydent? Nie chodzi o datę ujawnienia, a datę zaistnienia.
  2. Ilu klientów firmy mógł dotyczyć incydent?
  3. Na czym polegał incydent? Czy był to błąd w aplikacji?
  4. W jaki sposób firma dowiedziała się o incydencie? Otrzymała zgłoszenie czy sama wykryła?
  5.  Czy ujawnione mogły być także hasła klientów?

Aktualizacja 2018-03-17 19:00

Mimo weekendu otrzymaliśmy odpowiedzi na nasze pytania. Wiadomość cytujemy w całości, poniżej nasz komentarz.

1. Kiedy miał miejsce incydent? Nie chodzi o datę ujawnienia, a datę zaistnienia.
W dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części naszych klientów. Po weryfikacji zgłoszenia i podjęciu przez nas natychmiastowych działań zapobiegawczych, mogliśmy zagwarantować bezpieczeństwo danych. Obecnie trwa szczegółowa analiza ruchu i dzienników systemowych i nie będziemy ujawniać więcej szczegółów.2. Ilu klientów firmy mógł dotyczyć incydent?
Zgłoszenie, polegające na uzyskaniu nieuprawnionego dostępu do niektórych danych osobowych dotyczyło części naszych klientów. Po dokonaniu przez nasze służby teleinformatyczne odpowiednich działań i analiz można zakładać, że próba mogła dotyczyć tylko części klientów pakietów komercyjnych w bazie Bezpłatnego Dostępu do Internetu (BDI). Do tej pory nie zidentyfikowaliśmy przypadków negatywnych skutków naruszenia danych osobowych i w związku z tym nie byłoby uprawnione określanie liczby abonentów, których mogło dotyczyć przestępstwo.3. Na czym polegał incydent? Czy był to błąd w aplikacji?
W oprogramowaniu istniała podatność, która umożliwiała z wykorzystaniem enumeracji nieuprawniony dostęp do informacji. Podatność została natychmiast zweryfikowana i zlikwidowana. Jednocześnie zlecono analizę techniczną incydentu. Ponadto na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenie, które uniemożliwiło ewentualne bezprawne pobieranie danych osobowych klientów.

4. W jaki sposób firma dowiedziała się o incydencie? Otrzymała zgłoszenie czy sama wykryła?

Areo2 otrzymało zgłoszenie o podatności od służb utrzymania naszych systemów 14 marca br.

5. Czy ujawnione mogły być także hasła klientów?
Nieuprawniony dostęp do danych nie dotyczył haseł klientów. Na wszelki wypadek wprowadziliśmy dodatkowe działania profilaktyczne i ochronne, polegające na konieczności zresetowania Państwa dotychczasowego hasła w Elektronicznym Biurze Obsługi Klienta Aero2 w czasie najbliższego logowania. Konieczności resetu nie wprowadziliśmy w sklepie ze względu na fakt, że dostęp autoryzowany jest każdorazowo poprzez podanie właściwych danych – nie funkcjonuje w tym serwisie system hasłowy (www.sklep.aero2.pl)

Dodatkowo pozwalam sobie dopisać odpowiedzi do komentarzy zawartych w Państwa serwisie.

Ad. 1
Informacja elektroniczna była kierowana tylko do niektórych klientów, których mogła dotyczyć próba naruszenia dostępu do danych i prawdopodobnie z tego powodu Komentujący nie był w tej grupie klientów.
Ad. 2
Jeśli Klient nie zidentyfikował konieczności resetu, może to oznaczać, że próba naruszenia nie dotyczyła danych tego Klienta. Ponadto, konieczność resetu nie wprowadziliśmy w sklepie (www.sklep.aero2.pl) ze względu na fakt, że dostęp autoryzowany jest każdorazowo poprzez podanie właściwych danych.

Z otrzymanych informacji wynika, że incydent wynikał z błędu oprogramowania, dotyczącego możliwości enumeracji danych innych klientów. Wygląda zatem na to, że Aero2 padło ofiarą podobnych błędów, jakie regularnie identyfikujecie na stronach różnych dostawców usług (zmieniając numerek w linku).

Dziękujemy Czytelnikom, którzy przesłali nam informacje. źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *