13:17
17/3/2018

Niektórzy z klientów Aero2 godzinę temu zaczęli otrzymywać e-maile, w których operator informuje ich o możliwości nieuprawnionego dostępu do niektórych z ich danych osobowych. Poniżej przytaczamy to oświadczenie w całości:

Szanowni Państwo,
Informujemy, że w dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części Klientów BDI (Bezpłatnego Dostępu do Internetu), która skorzystała z oferty pakietów komercyjnych. Po weryfikacji zgłoszenia i podjęciu przez nas natychmiastowych działań zapobiegawczych pragniemy Państwa zapewnić o bezpieczeństwie danych, których mogło dotyczyć zgłoszenie (imię, nazwisko, dane korespondencyjne, dane adresowe do faktury, e-mail, numer kontaktowy, udzielone zgody biznesowe, numer seryjny karty SIM i kod PUK). Podkreślamy jednocześnie, iż próba nieuprawnionego dostępu nie dotyczyła takich danych, jak: PESEL oraz numer i seria dowodu. Na podstawie uzyskanych dotychczas informacji nie stwierdziliśmy zaistnienia negatywnych skutków próby naruszenia danych osobowych.

Dla zapewnienia najwyższego standardu bezpieczeństwa danych naszych Klientów i realizacji działań profilaktycznych, podjęliśmy natychmiast po otrzymaniu zgłoszenia w dniu 14 marca 2018 r. następujące działania:

Na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenia, które mają na celu uniemożliwianie potencjalnych prób naruszenia dostępu do danych osobowych.
Czasowo zablokowano możliwości wyświetlania danych osobowych Klientów sklepu Pakiety Aero na koncie po zalogowaniu.
Czasowo zablokowano dostęp do Elektronicznego Biura Obsługi Klienta Aero2, jednakże Klienci mieli możliwość dokonania zakupu pakietów poprzez sklep internetowy Aero2 (działający pod linkiem: https://sklep.aero2.pl ).
Poza działaniami wskazanymi powyżej Aero2 w dniu 15 marca 2018 r. zawiadomiło w tej sprawie Generalnego Inspektora Ochrony Danych Osobowych i złożyło zawiadomienie o możliwości popełnienia przestępstwa.

Ponadto Aero2 rekomenduje:

Zweryfikowanie wszystkich loginów i haseł, jakimi się Państwo posługują – z punktu widzenia bezpieczeństwa najlepiej jest używać innych identyfikatorów i haseł w serwisach internetowych i systemach komputerowych.
Zmianę hasła stosowanego w kontaktach z Aero2 – warto zadbać, by było odpowiednio silne.
Nie odpowiadać na maile spamerów ani nieznanych osób i instytucji.
Zawiadomić organy ścigania w przypadku uzyskania informacji o bezprawnym posłużeniu się danymi osobowymi przez podmiot nieuprawniony lub przesłać tego rodzaju zgłoszenie do Aero2 (adres poniżej).
W trosce o bezpieczeństwo Państwa danych wprowadziliśmy dodatkowe działanie ochronne, polegające na konieczności zresetowania Państwa dotychczasowego hasła w Elektronicznym Biurze Obsługi Klienta Aero2 w czasie najbliższego logowania. Jeżeli po zakończeniu przerwy technicznej nie korzystali jeszcze Państwo z serwisu, zachęcamy do zalogowania się i ustanowienia nowego hasła na stronie https://moje.aero2.pl

W przypadku pytań prosimy o kontakt drogą elektroniczną na adres: bok@aero2.pl

Ponieważ nasza skrzynka została zalana wiadomościami od klientów Aero2, którzy otrzymali tę wiadomość, poniżej odpowiadamy na najpopularniejsze pytania:

    Po pierwsze, Aero2 jako operator telekomunikacyjny jest zobowiązany ustawowo do informowania klientów, jeśli ich dane wyciekły lub zostały wykradzione. Firmy inne niż operatorzy będą musieli w podobny sposób informować swoich klientów dopiero po 25 maja, kiedy w życie wejdzie RODO/GDPR (chociaż wciąż nie wiadomo kto faktycznie będzie musiał, a kto z takiego obowiązku zostanie zwolniony).

    Po drugie, na plus zasługuje szybki czas reakcji. Firma miała o incydencie dowiedzieć się 14 marca. Od tego czasu nie tylko przeanalizowała incydent, ale również wdrożyła dodatkowe zabezpieczenia i rozpoczęła akcję informacyjną

    Po trzecie, patrząc na dane, jakie mogły zostać pozyskane, a które dotyczyły tylko klientów płacących za pakiety komercyjne, nie a się jednoznacznie stwierdzić, czy w serwisie internetowym była jakaś podatność pozwalająca na enumerację klientów lub filtr pokazujący więcej danych niż powinien, czy dane zostały wyprowadzone w inny sposób (np. przez pracownika lub firmę trzecią) choć czasowa blokada możliwości wyświetlania danych osobowych klientów w serwisie sugeruje, że firma mogła podejrzewać iż to serwis internetowy jest źródłem problemu.

    Po czwarte, brak jest informacji o tym, żeby pozyskane dane były przez kogoś do czegoś niecnie używane. Możliwe scenariusze to phishing lub ataki socjotechniczne wyłudzające brakujące dane (wśród danych nie znajdowały się najwrażliwsze informacje, tj. PESEL czy numery dowodów).

    Po piąte, rekomendacje Aero2 są prawidłowe jak na skalę, zakres i ryzyko związane z tym incydentem. Na pochwałę zasługuje też “dodatkowe działanie” w postaci resetu hasła — choć ono wedle komunikatu nie wyciekło.

Dziękujemy wszystkim Czytelnikom za przesłanie informacji od Aero2. Jeśli jesteście klientami Aero2 i zaobserwujecie dziwne wiadomości lub próby kontaktu, dajcie nam znać.

Przeczytaj także:

50 komentarzy

Dodaj komentarz
  1. Dopiero dostałem e-mail, wchodzę na niebezpiecznik a tu gotowy artykuł. Informują wszystkich (tylko używam bezpłatnie, nie wykupywałem pakietu).

    • Albo nie wszystkich, albo wysyłka maili jeszcze trwa i jeszcze nie wszyscy dostali. W domu mamy dwie karty, na obu były kupowane pakiety. Na jednego maila ostrzeżenie przyszło, na drugiego (jeszcze?) nie.

    • OK, już nieważne… Mail właśnie dotarł także na drugiego maila. Czyli wysyłka jeszcze trwa po prostu.

    • @stefan “Informują wszystkich (tylko używam bezpłatnie, nie wykupywałem pakietu).”

      Mam podobnie, też otrzymałem maila a nigdy nie kupowałem pakietu komercyjnego ale skorzystałem z promocji (jeszcze na samym początku) dającej prawo użytkownikowi BDI aktywowania “na próbę i za darmo” pakietu [3 Mb/s 1GB 10 dni] a więc z przepustowością większą niż w klasycznym BDI (512 kb/s). To było gdzieś w 2015 r i wtedy trzeba było założyć konto w sklepie. Więc nie wykluczam, że mialeś podobnie jak ja i zapomniałeś o tym.

    • Nie dostałem wiadomości.
      Korzystałem tylko z BDI, nie korzystałem ani z pakietów komercyjnych, ani tych za darmo “na próbę”.

    • @wilga
      Nie, nie korzystałem z promocji (promocja poszła na testy na innym sim aero2 do którego e-maila jeszcze nie ma). Po prostu albo zapobiegawczo wysyłają wszystkim, albo wyciekło więcej, niż mogą oficjalnie powiedzieć.

  2. Też dostałem przed chwilą mejla. Korzystam z płatnych pakietów od miesięcy. Zmieniłem hasło. Tylko tyle mogę zrobić. Oby nic złego z tego nie wyszło dla klientów.

  3. Mail otrzymałem
    13:53 (14 minut temu)
    Od wielu miesięcy nie używam AERO2. Kiedyś kupiłem kilka razy ciągłość połączenia.

  4. Brawa dla Aero2 za szybką reakcję. Znam operatorów którzy by tylko poinformowali klientów (bo muszą) i w zasadzie na tym by się skończyło. A Aero2 przynajmniej próbuje naprawić to co się stało.

    Sądząc po podjętych działaniach, tj. zablokowaniu wyświetlania danych, podejrzewam że problemem była albo enumeracja, albo wyświetlało dane losowych klientów (jak to w przeszłości z innymi firmami się zdarzało).

  5. Korzystałem z płatnych pakietów. Mogę się zalogować i przeglądać dane.
    Brak komunikatu o resecie hasła.

  6. A takie pytanie, co z klientami którzy skorzystali z darmowego pakietu promocyjnego? Ich dane też wyciekły?

    • Jak odpowiedziałe pod postem [stefan 2018.03.17 13:33] Skoro ja też otrzymalem a wysyłają tylko do tych “komercyjnych” to odp. brzmi TAK, bo musiałeś się zarejestrować w sklepie Aero2 (pomimo, że za 0zł pakiet był)

  7. Witam.
    Początkowo myślałem że to jakiś spam lub próba wyłudzenia danych. Postanowiłem odwiedzić niebezpiecznik aby zweryfikować czy ktoś jeszcze dostał podobną wiadomość.
    Jestem zaskoczony szybką reakcją

  8. Ta firma to jest po prostu dno jeśli chodzi o ochronę danych osobowych. Logując się pierwszy raz na moje konto aero trzeba było logować się peselem. Przy wykupieniu pakietu testowego też trzeba było podać swój pesel. Po zalogowaniu do konta moje aero od razu widnieją nasze wszystkie dane. Imię, nazwisko, adres zamieszkania, do niedawna pesel. To jest tylko proszenie się o kłopoty. Ale to jest taka polityka firmy, z każdą sprawą nawet mailową żądają podawania imienia, nazwiska i swojego peselu. Przecież to trzeba być chorym na głowę żeby w zwykłym mailu podawać takie dane. W celu aktualizacji danych czy zmiany dowodu też należy wysłać skan dowodu na email. Przecież to jest śmieszne i tragiczne.
    Ze strony aero2:
    BEZPŁATNY DOSTĘP DO INTERNETU
    Jeżeli Twoje zapytanie dotyczy realizacji Zamówienia, w treści podaj swoje imię i nazwisko, numer PESEL, datę złożenia zamówienia, informacje o wpłatach.
    Jeżeli posiadasz już kartę SIM Aero2, podaj w treści swoje imię i nazwisko, numer PESEL i numer karty SIM.
    Może ktoś z niebezpiecznika zainteresował by się tą sprawą.

    • Problemem jest to że istnieje coś takiego jak PESEL – niezmienialny, unikalny numer.
      Państwo powinno te numery zlikwidować. Dopóki istnieją, nic dziwnego że firmy prywatne opierają na nim swoje rejestry. Bezmyślnie, bo jeden niezmienialny klucz do wszystkich baz to zło w czystej postaci.

    • Pesel identyfikuje cię w społeczeństwie, podatki i inne sprawy. Raczej państwo z tego nie zrezygnuje.
      Aero jest samo sobie winne. Potwierdzanie wykupienia pakietu peselem? Przecież to głupota. Pesel powinien być szczególnie chroniony. A w tym ich pożal się Boże eboa, po zalogowaniu wszystkie dane są i były jakby specjalnie na widoku dla wszystkich.
      Problem jest taki że w razie takiego wycieku hasło możesz zmienić ale pesela w żaden sposób nie zmienisz.

    • W PESEL-u nie byłoby nic złego, gdyby pełnił tylko tę funkcję, do której został wymyślony – tzn. numeru IDENTYFIKACYJNEGO, pozwalającego jednoznacznie zidentyfikować (np. w róznych urzędowych bazach danych) daną osobę. Czyli czegoś w rodzaju identyfikatora użytkownika, przekładając to na realia informatyczne :)
      Problem wynika natomiast stąd, że cała masa firm i instytucji uważa – nie wiedzieć czemu, bo przecież tak nie jest – że PESEL jest numerem tajnym, znanym tylko jego posiadaczowi, w związku z tym podanie tego numeru weryfikuje tożsamość użytkownika. To trochę tak, jakby identyfikatora użytkownika równocześnie używać jako hasła ;)
      Obywatel powinien mieć coś innego, czym mógłby się zautentykować, a PESEL powinien być tylko tym, czym powinien być :)

  9. Kto finansuje bezpłatny dostęp do Internetu od Aero? Państwo im za to płaci z pieniędzy podatników, czy po prostu klienci korzystający z płatnych pakietów tej firmy (tak, jak ma to miejsce w przypadku darmowych wersji np. skrzynek e-mail albo programów)?

    • to byl chyba warunek uzyskania koncesji na pasmo

  10. Kiedyś (chyba parę lat temu) korzystałem z darmowego Aero2 w ramach usługi BDI (Bezpłatny Dostęp do Internetu). Pamiętam, że wymogiem było wysłanie kopii dowodu osobistego. W sumie zapomniałem o tej firmie (nawet nie wiem czy mam gdzieś kartę SIM). Przy okazji tego tematu zacząłem się zastanawiać czy nie powinienem “oficjalnie zrezygnować” i poprosić o usunięcie moich danych osobowych. Czy ktoś pamięta jaka była procedura? Czy powinienem sie bać o swoje dane ….

    • Poprzez zwrot, listem poleconym, karty wraz z obudową (adapterem, na którym nadrukowany jest PIN i PUK) wraz z wnioskiem o zwrot depozytu:
      https://aero2.pl/1_bezplatny-internet/3_mam-juz-karte/15_zwrot-depozytu
      Na wniosku można dopisać o żądaniu zaprzestanie przetwarzania danych osobowych
      ………..
      Żądanie zaprzestania przetwarzania danych osobowych
      Zgodnie z art. 32 ust. 1 pkt 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.) żądam zaprzestania przetwarzania moich danych osobowych.
      ………..

  11. Pro tip twórców aplikacji:
    Nigdy nie ustawiaj maxlength na polu typu password, ponieważ łatwo omyłkowo “wpisać” za dużo znaków.

  12. Hmm… dostęp do danych abonenta owszem, jest zablokowany, ale dla użytkowników sieci aero2. Telefon i email pusty, imię i nazwisko wykropkowane….. Logując sie do e-boi z sieci innego dostawcy widzę wszystkie dane, brak blokady.

    Ciekaw jestem ile jest prawdy w oświadczeniu firmy, może warto zablokować dowód osobisty na wypadek prób założenia konta ma “kolekcjonerskie” dowody osobiste?

    • @Maciek
      To mamy inaczej:
      1. Logowanie do e-boi z z sieci innego dostawcy w celu zmiany hasła: widzę tel, mail, dane adresowe do faktury, nr karty.
      2. Powtórne logowanie do e-boi z sim karty aero2 : widzę tel, mail, dane adresowe do faktury, nr karty. Czyli DOKŁADNIE to samo

      W żadnym z powyższych nie widziałem peselu czy nr dow.osob.

  13. Nie otrzymałem powiadomienia od Aero ale na skrzynkę e-mailową otrzymałem dziwne dwie wiadomości ode mnie samego czyli na adres skrzynki z tego samego adresu skrzynki. W wiadomości link. W tytule “Ahoj zlatíčko!” i “Jen teple divky!”
    W wiadomości link już po polsku:
    “Czy chcesz dziś wieczorem mieć dziewczynę?”
    Po prostu kliknij

    Oczywiście nie klikamy
    Pozdrawiam

    • To samo dostałem.

    • To nie jest powiązane z Aero2 – ja takie emaile dostaję od kilku dni na onecie [że niby sam sobie wysyłam je], a maila onetowego nie używam w BDI. Sprawdzałem szczegóły i to były różne zagraniczne adresy IP choć jeden raz trafił się z Centertel Idea [Orange teraz].

    • Czyli nie chcesz dziś wieczorem dziewczyny?

  14. W ciągu kilku ostatnich dni dostałem ze 3-4 SMS-y z firm pożyczkowych/ubezpieczeniowych – nie pamiętam dokładnie. Niestety skasowałem. Numer mam podany w BDI i rzadko używany. Baza chyba już się sprzedaje w internecie. Nie dostawałem wcześniej tego typu wiadomości SMS-owych. Teraz zaczynam to wiązać z tym wyciekiem. Ciekawe, czy to się jeszcze nasili.

  15. Mogę potwierdzić, że był wyciek danych.

    Ktoś z Olsztyna (15.03) zalogował mi się na inne konto (portalu społecznościowego) używając loginu i hasła jakie miałem na Areo2 w sklepie

    Więc z całą pewnością wyciekły e-mail i hasła.

    … o ironio nieautoryzowane logowanie było z sieci Areo2 ;) więc osoba całkowicie identyfikowalna.

  16. Ja nie dostałem. Ale zdaje się, że nigdy nie korzystałem z elektronicznego biura obsługi. Ztcp wysłałem formularz, dostałem kartę i tyle. Od 1,5 roku mam (i nie używam)

  17. Nic się nie stało. Nic się nie stało.

    “Na podstawie uzyskanych dotychczas informacji nie stwierdziliśmy zaistnienia negatywnych skutków próby naruszenia danych osobowych.”

    Szanowny Mateuszu Kowalski.

    Mam dla Pana ofertę specjalną. Przez 60 dni może Pan bezpłatnie korzystac z usługi nieograniczony transfer do 10 megabitów na sekundę. Wystarczy, że Pan aktywuje pakiet na stronie sklep . aẹro2 . pl / aktywuj_pakiet. Więcej informacji na stronie sklep . aẹro2 . pl / pakiet_60dni_za_darmo. Zapraszamy do skorzystania z bezpłatnej oferty

    Pozdrawiam,
    Maciej Złodziejaszek

    Mam nadzieję, że paprocha w adresie zauważyliście (-;

    • Nie muszę widzieć paprocha w adresie. Samo nazwisko Maćka starczy żeby nie klikać.

  18. Jest jakas szansa aby ktos wzial kredyt na podstawie danych uzyskanych na skutek tego wycieku? Czy w gre wchodzi jedynie phishing i proba uzyskania wiekszej ilosci danych oraz ew spam na maila / tel?

    • Jeśli ma imię, nazwisko i pesel to pewnie gdzieś online w jakimś banku na te dane coś może wziąć. Aero twierdzi że pesele nie wyciekły, ale nie chcę mi się w to wierzyć skoro pesel widniał zaraz po zalogowaniu z innymi danymi adresowymi i imieniem i nazwiskiem. Jakoś dziwnie wszystko wyciekło oprócz pesel gdzie dane były dostępne wszystkie, a pesel niby nie wyciekł.
      Potwierdzanie zakupu pakietów to było proszenie się o kłopoty, hasło po takim ataku możesz zmienić, a pesel nie. Tym bardziej że pesel powinien być szczególnie chroniony bo z imieniem i nazwiskiem identyfikuje Cię w społeczeństwie. No ale ta firma tego nie rozumiała i nie rozumie.
      W razie jakiegoś kredytu i tak przecież ty będziesz się męczył, nie oni. A to oni powinni odpowiadać za swoją głupotę. To wszystko jest chore w naszym kraju.

  19. Po logowaniu nie ma żadnego wymuszania zmiany hasła – więc komunikat o wprowadzeniu resetu to lipa :)

    • Chyba dostali tylko Ci o których wiedzą że ktoś pozyskał ich dane – ja dostałem :(

  20. Mam kartę Aero2, kupowałem pakiety komercyjne. Nie otrzymałem wiadomości, logowanie na konto nie wymusza zmiany hasła.

    • Informacja już dotarła. Resetu hasła dalej nie widzę.

  21. Korzystam z pakietów komercyjnych od dawna, ale żadnego e-maila o wycieku danych nie dostałem do tej pory.

  22. Piszę dziś do nich zapytanie jakie dane wyciekły i czy był to Imię Nazwisko mail lub nr telefonu kontaktowego a oni pytają mi się o PIN żebym go podał tak poprostu przez maila w celu weryfikacji kto ja jestem – masakra jakaś :(

    • To po co pytasz w mailu? przez eBOK nie laska?

    • Nie, kochanie, nie laska, tylko łaska. Dla znających czeski: “Ja se ucim hackovat jako Kevin Mitnick!”
      “To me naucila hackovat babicka.”
      Tłumacząc z czeskiego na nasze, jest kolosalna różnica, czy robisz komuś łaskę, czy laskę…

  23. Czy wcześniej po zalogowaniu (przed włamaniem) widać było PESEL czy nie bo nie pamiętam ?

    • Jakiś czas temu jak się logowałem to pesel było widać, ostatnio jeszcze przed samym wyciekiem to nie wiem, ale podejrzewam że dopiero wyciek spowodował że ukryli pesel, tylko teraz to już trochę za późno na to. Niby twierdzą że pesele nie wyciekły, ale skoro i pesel było widać to na bank wyciekły.

  24. Dzisiaj dostałem sms ze spoofowanym kontaktem o nazwie Marcin. Treść sms: “Podsyłam Ci ten adres sklepu z liquidami Xttp://idym.eu”. Myślę, że to wynik wycieku tych danych od aero2, tylko z tym mogę to aktualnie powiązać.

  25. Dostałem maila od Aero2 w pierwszym rzucie wtedy kiedy jeszcze nie bylo o tym info na Niebezpieczniku, wcześniej widziałem, BOK Aero2 nie działa, po otrzymaniu maila oczywiście ustawiłem nowe hasło, kilkukrotnie już się nim logowałem. Dziś przy próbie logowania ponownie wymusili na mnie zmianę hasła. Czyżby tamte działania były niewystarczające i trzeba je poprawić?

  26. Jak zlikwidować konto u nich? Nie chce już dam mieć żadnych danych

  27. Ja dziś dostałem list. Od razu pokserowałem i wypełniłem formularz że rezygnuje i mają mi pokasować dane z ich bazy za potwierdzeniem to wysłałem razem z kartą sim i obudową. Polecam takie działanie. Zaznaczcie na końcu że Żądanie zaprzestania przetwarzania danych osobowych
    Zgodnie z art. 32 ust. 1 pkt 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135 z późn. zm.) żądam zaprzestania przetwarzania moich danych osobowych.

  28. props za szybka reakcje

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.