12:09
16/8/2021

W piątek wieczorem trzech operatorów MVNO działających na infrastrukturze sieci Plus: a2mobile, Premium Mobile i NAU Mobile poinformowało klientów o “możliwości naruszenia danych osobowych”. Jak się dowiedzieliśmy, komunikat jest następstwem ataku ransomware w firmie, która jest dostawcą systemu zarządzania klientami dla tych operatorów.

Problemy trwały od tygodnia

Problemy związane z atakiem zaczęły być odczuwalne już 8 sierpnia. Niektórzy z klientów dowiadywali się, że przeniesienie numeru do sieci nie jest obecnie możliwe. Jak można wyczytać z oświadczenia Premium Mobile i oświadczenia a2mobile, spółki o incydencie dowiedziały się już następnego dnia, jednakże dopiero 11 sierpnia otrzymały potwierdzenie, że “incydent bezpieczeństwa” może stanowić ryzyko dla klientów. Co ciekawe, NAU Mobile w swoim oświadczeniu twierdzi, że o sprawie dowiedział się dwa dni później, 13 sierpnia.

Wszystkie zaczęły informować klientów w piątek wieczorem (wiadomo, że to jeden z lepszych terminów na informowanie o naruszeniach ;) za pomocą takich wiadomości:


Jak widać, problem dotyczy danych klientów w zakresie jak niżej. [Aktualizacja: podajemy zbiorczy zakres, bo różni się on pomiędzy operatorami i rodzajami wykorzystywanych usług — każdy powinien dowiedzieć się od operatora o dokładny zestaw danych, jaki wyciekł w jego przypadku]:

    Seria i numer dokumentu tożsamości w przypadku niektórych klientów
    PESEL w przypadku niektórych klientów
    Numer telefonu
    Adres zamieszkania
    Adres e-mail
    Imię i nazwisko
    Numer rachunku bankowego w przypadku niektórych klientów

Co ciekawe, jeszcze jeden operator wirtualny ma korzystać z tej samej firmy zewnętrznej, z której korzystały a2mobile, Premium Mobile i NAU Mobile, ale chyba jego serwery nie zostały zaszyfrowane, bo póki co nie poinformował klientów o incydencie.

Szyfrowanie danych == ich kradzież i ryzyko upubliczenienia

Myślicie — spoko, to tylko ransomware, a ten przecież szyfruje dane, nie ma się czym przejmować. Pewnie się odtworzą z kopii bezpieczeństwa i po problemie. No nie do końca. Dziś o atakach ransomware trzeba myśleć jak o kradzieży danych — ofiary są szantażowane, że jeśli nie zapłacą okupu, wykradzione dane zostaną opublikowane. A dane te zawierają nie tylko “przemysłowe sekrety” i dokumentację, ale także masę informacji na temat klientów, w tym dane osobowe. W Darknecie znaleźć można wiele stron gangów ransomware’owych które regularnie publikują dane firm, do których się włamali (poświęciliśmy im 7 tydzień naszego kursu OSINT). Ostatnio ofiarą takiej publikacji jako kary za brak płatności padła firma Accenture.

Warto na atak i wycieki danych klientów odpowiednio się przygotować. Jak? To krok-po-kroku pokazujemy zarówno od strony prawnej jak i technicznej w naszym godzinnym szkoleniu “Zostałeś zhackowany, co teraz?“. Dowiesz się z niego jako poprawnie zareagować nie tylko na takie incydenty jak ransomware, szantaż czy wyciek; co robić najpierw a co później i czego nigdy nie robić oraz jak rozmawiać o ataku z klientami, UODO i dziennikarzami.

Warto się zapoznać z tym materiałem, koszt to godzina konsultacji, a praktycznych rad więcej niż w dwudniowym szkoleniu. Zobacz nagranie szkolenia tutaj.

Jestem klientem — co robić, jak żyć?

Zwracamy uwagę, że wyciec mogły Twoje dane związane z dokumentem tożsamości, co może znacznie ułatwić wzięcie na Ciebie pożyczki (zob. Jak oszuści biorą pożyczki mając czyjś PESEL, bez dostępu do dowodu?).

Dlatego jeśli przekazałeś operatorowi swoje dane z dokumentu tożsamości, to sugerujemy zastrzeżenie tego dokumentu tożsamości. Dowód możesz zastrzec w banku lub online, za darmo, przez Profil Zaufany. Jego ponowne wyrobienie jest darmowe.

Niestety, dopóki w Polsce nie zmienią się przepisy i podejście firm do uwierzytelniania obywateli i autoryzacji zlecanych przez nich czynności przez internet, dowód będziesz musiał zastrzegać i wymieniać po każdym jego wycieku.

Ale to w sumie dobrze. Może kiedy urzędnicy zauważą wzrost liczby zastrzeżeń i wymian dowodów oraz związane z tym rosnące koszty, to politycy w końcu pójdą po rozum do głowy i wprowadzą odpowiednie przepisy. Uporządkowania w tej materii wymaga wiele kwestii, nie tylko zakaz uwierzytelniania obywateli po PESEL-u, ale także mechanizm tzw. credit-freeze, czy też szersze wykorzystanie warstwy elektronicznej nowych dowodów osobistych.

PESEL-u nie wymienisz…

Poza wymianą dowodu możesz też zmienić adres e-mail i numer telefonu — jeśli cenisz sobie prywatność. Ale PESEL-u już nie zmienisz. Musisz się po prostu przyzwyczaić, że Twoje dane prędzej czy później i tak ponownie wyciekną z jakiejś firmy. To się dzieje regularnie.

Dlatego warto się na taki wyciek przygotować zawczasu. Jak? Nagraliśmy godzinne wideo szkolenie na ten temat. Zebraliśmy w nim wszystkie informacje dotyczące wycieków danych i kradzieży tożsamości. W szczegółach omawiamy różne usługi pomagające w takich sytuacjach (i takie, które twierdzą, że pomagają).

  • Sprawdź, co na Twój temat już wyciekło do sieci i do czego dostęp mają przestępcy.
  • Dowiedz się, co zrobić, aby nikt tego nie wykorzystał przeciwko Tobie!

Do końca dnia, dostęp do naszego szkolenia “Wycieki Danych” możesz kupić aż 50% taniej podając kod GSM. Dostęp do szkolenia otrzymasz na 30 dni, więc spokojnie zdążysz go zobaczyć.

Kliknij tutaj aby kupić w promocyjnej cenie (ważne tylko do 23:59).


Aktualizacja 16.08.2021, 12:30
Jeden z pracowników powiazany z markami Premium Mobile i a2mobile informuje, że chociaż w oświadczeniach obu firm wymienione są dane dokumentów tożsamści jako te, które wyciekły, to niekoniecznie każdy z klientów miał serie i numer dowodu wpisany w system. Jeśli nie pamiętacie czy przekazaliście operatorowi dowód/skan dowodu, to rekomendujemy aby skontaktować się z operatorem i dowiedzieć się jakie dane na Wasze temat posiadał w swojej bazie, a jeśli był to numer dokumentu tożsamości, to dopiero wtedy go zastrzec. Najlepiej odpowiedź mieć na piśmie. Zmodyfikowaliśmy artykuł powyżej o tę sugestię, zaznaczając że różni klienci, różnych operatorów mogą mieć różne rodzaje danych osobowych, które zostały naruszone.

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. Ciekawe czy dostaną karę za RODO

    • Czemu mieliby dostać? Wystarczy, że wyrobią się w terminach i będą informować klientów (co już trwa).

    • @asdsad
      Postępowanie zgodnie z prawem i wg procedur wcale nie gwarantuje ochrony przed karą :P

    • To troche tak jak z opieka nad dzieckiem – zostawisz malucha gdzies na pastwe losu sad moze ci przywalic kare, jesli sie nim opiekujesz to niby nie ale czy to tez obejmuje gadanie z psiapsiulka na telefonie jak maly pomyka na rowerku po skraju klifu?

  2. Czy Aero2 jest też celem tego włamania?

  3. Tak, skontktaktować się z operatorem… Napisałem na BOK jakie moje dane osobowe wyciekły otrzymałem informację zwrotną żeby śledzić ich komunikaty:)

  4. “PESEL-u nie wymienisz…”. Z tym nie do końca się zgodzę. Istnieją dwie karkołomne lecz możliwe do realizacji drogi do zmiany numeru PESEL. Pierwszą możliwością jest korekta daty urodzenia, a drugą zmiana płci. I kurcze, nie wiem na którą metodę się zdecydować ;)

    • Są też inne okoliczności, nieco mniej karkołomne, umożliwiające czy też wymuszające zmianę PESEL.

  5. Wysłali SMS-y do obecnych klientów. Dane tych którzy zdążyli się przenieść i tak zapewne trzymają min. 12 miesięcy (jeśli nie dłużej, bo i reklamacje i inne sprawy muszą załatwiać). Ci klienci już nie otrzymali żadnego powiadomienia. Jakoś nie wierzę, że dlatego, że ich danych tam nie było, tylko ćwierć-inteligenci najpierw nie upilnowali danych, a następnie zapewne zrobili nie taką querę po bazie…

  6. “Jeśli nie pamiętacie czy przekazaliście operatorowi dowód/skan dowodu, to rekomendujemy aby skontaktować się z operatorem i dowiedzieć się jakie dane na Wasze temat posiadał w swojej bazie, a jeśli był to numer dokumentu tożsamości, to dopiero wtedy go zastrzec. ”

    Zadzwoniłem do PM i powiedzieli mi, że nie mogą udzielić mi takiej informacji ze względu na prowadzone śledztwo w tej sprawie. Także elo.

    • Zapytałem a2mobile drogą mailową o to jakie dane posiadają w bazie. Po autoryzacji (puk lub 5 ostatnich cyfr peselu) podali mi tą informację, że numer zarejestrowany jest na imię, nazwisko, pesel. Dowodu tożsamości nie ma ale obawy są, że można wziąć pożyczkę tylko na pesel …

  7. Piękne to były czasy, gdy telefon na kartę nie musiał być rejestrowany i nie było co “wyciekać”. Kara karą… a czy klienci dostaną REKOMPENSATĘ ? Dziwne że … nikt nie patrzy na to w ten sposób

    • Coś mi się wydaje, że gdyby te firmy musiały później opłacać koszty sądowe ofiar ich nieudolności to dane osobowe byłyby najlepiej strzeżonymi danymi w tym kraju.

    • Postaw się po drugiej stronie:
      Jesteś firmą, masz dane klientów. Trzymasz je w jakimś systemie. Nie znasz się, wiec zatrudniasz 3 informatyków za ciężką kasę. Albo: znasz się i sam aktualizujesz. Ktoś mimo wszystko znajduje dziurę i pobiera dane klientów.
      RODO -> kara + odszkodowanie -> idziesz pod most / ogłaszasz się bankrutem i bierzesz zasiłek z Urzędu Pracy / wieszasz się na gałęzi.
      O to chodzi?
      Muszą być kary za nienależytą ochronę, za lekceważenie sygnałów o dziurach, za nieinformowanie. Ale jeśli robiłeś wszystko co się dało…
      Dane trzeba też chronić od drugiej strony: “credit freeze” – wtedy stają się bezużyteczne dla złodzieja.

  8. czy jak ktoś przeniósł numer do a2mobile to tylko pesel mógł zostać ujawniony?, czy operatorzy tez przekazują inne dane między sobą?

  9. Można spróbować próbować zabezpieczyć się na stronie bezpiecznypesel_pl i założyć konto w BIK z alertami za 24zl rocznie. Zawsze to jakieś utrudnienie dla przestępców

    • Te usługi to powinien operator wykupić swoim poszkodowanym klientom i powinien być do tego zobligowany przez prawo.

  10. Jak zmusić społeczeństwo do wymiany dowodu przed czasem? Zrobić kontrolowany wyciek i sugerować wymianę dowodu na nowy z nowymi danymi w warstwie elektronicznej :)

    • Z warstwą elektroniczną oraz odciskiem palca, który najchętniej zbierano by do centralnej bazy danych. ;) Ale to jeszcze nie ten przypadek, gdyż odcisków na razie nie mogą pobrać.

      A tak na poważnie. To właśnie warstwa elektroniczna ma w przyszłości umożliwić uwierzytelnienie się przez Internet i sam numer dowodu nie powinien być wystarczający do wzięcia pożyczki.

  11. Niestety na moje pytanie czy wyciekły skany/kserokopie dowodów Premium Mobile nie odpowiedziało. Pytanie wysłane w sobotę, po otrzymaniu smsa.

  12. TYLKO ORANGE, Coś te dane ostatnio za gęsto ciekną. Może pora powymieniać uszczelki na nowe ? Z obserwacji idzie wywnioskować zjawisko zmęczenia materiału. Wogóle takie dane to powinno się “solić” przed default.

  13. Czy zastrzeżenie dowodu tożsamości wystarczy? Bo to nie jest to samo, co unieważnienie.

    Zastanawiające jest dlaczego operator zwlekał z poinformowaniem klientów aż do piątku późnym wieczorem skoro o swojej wpadce wiedział już od środy (a może i wcześniej)? Przecież w tym czasie poszkodowani klienci mogli podjąć jakieś działania a przez niezrozumiałą decyzję operatora skala wyłudzeń może być o wiele większa. Mam nadzieję, że stosowny urząd zada kilka kłopotliwych pytań operatorowi i wyciągnie z tego wnioski.

    Operator nie wie jakie konkretnie dane wyciekły ale za to wie, że listę potencjalnych zagrożeń dla klientów powinny otwierać takie pozycje jak “korzystanie z nieprzysługujących praw obywatelskich, np. do głosowania nad środkami budżetu obywatelskiego”. Tak, tego się z pewnością każdy obawia najbardziej. Takie pomniejsze ryzyka jak wyłudzenie kredytów czy zakup drogich usług są oczywiście na końcu listy. A nuż ktoś nie doczyta do końca i nie będzie się awanturował.

    Zabawne jest to, że operator porywa się na udzielanie takich rad jak “zachowanie ostrożności podczas podawania danych przez Internet” a przecież właśnie przez Internet sami te dane pobierają a potem wystawiają na tacy przestępcom. Te uwagi o ostrożności to powinni kierować sami do siebie.

  14. U mnie chwilę po komunikacie od a2mobile telefon się rozdzwonił i tak jest do chwili obecnej – po kilkanaście połączeń od różnych telemarketerów z całej Polski. Wcześniej była cisza i spokój, jeśli już, to zdarzał się taki telefon bardzo rzadko, a teraz szału można dostać.

  15. Naumobile z urzędu opłaci poszkodowanym alert BIK. Widocznie mają mało abonentów. Pozostali na razie czekają.

    Wiadomo ilu klientów dotyczy wyciek? Czy operatorzy z urzędu blokują możliwość wydania duplikatu SIM na podstawie rozmowy telefonicznej?

  16. Do wydania duplikatu karty SIM konieczne jest wylegitymowanie się dowodem osobistym przy odbiorze przesyłki od kuriera lub w punkcie, więc nie ma (i nigdy nie było) możliwości uzyskania i aktywacji duplikatu karty SIM na podstawie samej rozmowy telefonicznej i bez posiadania stosowanego dokumentu tożsamości w formie fizycznej

  17. Ale ok, komentarz Ewy dotyczył operatorów w ogólności, ergo po mojej stronie też niedopatrzenie. Przepraszam. Tym niemniej poprzedni kom. dotyczył tego co wiem o procedurze duplikowania SIM w PM. Jak ktoś ma inne info proszę poprawiać. Pozdrawiam :)

  18. A ja dostałem taką odpowiedź:

    Umowę podpisał Pan przed 4 września 2019 roku, wtedy pobieraliśmy dane takie jak seria i numer dowodu osobistego, numer PESEL również.

    • W jakiej sieci numer? Na firmę czy osoba fizyczna? Karta czy abonament?
      Ja (a2m, rejestrowana początek 2019, karta, osoba fizyczna) dostałem odpowiedz, że imię, nazwisko i pesel. Danych dowodu osobistego nie mamy.

    • Oooo, to szczęściarze z was. Ja pytałem dwa razy i dwa razy otrzymałem tylko idiotyczne odesłanie do komunikatu na ich stronie. Mowa o a2m.

  19. Premium Mobile dalej tnie w siusiaka i nie chce współpracować. Słabe to. Na moje pytanie dostałem zdawkową odpowiedź:

    “Dzień dobry,

    Informacja ta została szczegółowo wskazana w komunikacie. Zdarzenie mogło obejmować następujące dane: nazwisko i imię, adres korespondencyjny lub zameldowania, numer ewidencyjny PESEL lub numer dokumentu tożsamości, adres e-mail, numer telefonu, numer rachunku bankowego, data urodzenia, NIP/REGON.

    Pozdrawiamy,
    Zespół Premium Mobile
    http://www.premiummobile.pl
    http://www.a2mobile.pl

    Na wszelki wypadem wykupiłem sobie alerty w BIK, bo zanim oni coś ustalą to… zresztą na nic nie liczę. Mleko się rozlało, ale jak ma tak wyglądać komunikacja z klientem to trzeba chyba będzie pomyśleć o zmianie operatora :P.

  20. NAU Mobile postanowiło opłacać klientom BIK, ciekawe czemu reszta nie podejmuje takiego kroku

  21. A z lycamobile nic niewyciekło?

    Oni korzystają z infry plusa.

    Albo są zabezpieczeni albo siedzą cicho bo kara z udo zabiła by ich

  22. Ufff, na szczęście w a2mobile rejestrowałem prepaidna dowód, który wyciekł z Virgina. In your face, hackerzy.

  23. “Jego ponowne wyrobienie jest darmowe.” – nie do końca. Od sierpnia przepłacamy odciskami wszystkich palców. Do 31 lipca 2021 można było wyrobić dowód bez odcisków palców.
    Należy więc podawać jak najmniej danych i zastanowić się czy wszędzie musimy podawać wszystkie prawdziwe i czy nie posłużyć się czasem kimś znajomym / komuś nie zapłacić za rejestrację karty lub też czy nie kupić czeskiej karty z czeskimi doładowaniami.

    • Nadal można bezpłatnie. Dowody z odciskami przesunęli bodajże na październik. Tydzień przed terminem się okazało, że zamówione/zakupione czytniki odcisków stanowią olbrzymie niebezpieczeństwo dla obywateli i państwa więc szybciutka zmiana ustawy …
      Druga sprawa, że o ile dobrze zrozumiałem te odciski nie mają (podobno) być przechowywane w żadnym systemie …..

  24. Pięknie i ładnie , tylko że o tym zdarzeniu dowiedziałem się z informacji w internecie a nie od operatora . Można zmienić dowód czy zastrzec ale co z innymi konsekwencjami po tej zmianie trzeba wszystkich poinformować , Banki , US ,ZUS , i u innych instytucji i firm gdzie konieczne jest podawanie danych

    • Dokładnie.Co w przypadku jak nr dowodu służy do weryfikacji a ty przychodzisz z nowym?

  25. Którzy urzędnicy zauważą? Chyba ci na samym dole czyli w gminach… A oni na zmianę przepisów mają wpływ chyba mniejszy niż ja na opady nad Saharą…..

  26. Co lepiej zastrzeżenie dowodu na BIK czy Peselu
    Czy oba razem?

  27. “Poza wymianą dowodu możesz też zmienić adres e-mail i numer telefonu — jeśli cenisz sobie prywatność. Ale PESEL-u już nie zmienisz” – totalna bzdura mozna wyrobic nowy PESEL ale zazwyczaj lepiej wyrobic nowa tozsamosc i do niej wygenerowac PESEL.

    “Musisz się po prostu przyzwyczaić, że Twoje dane prędzej czy później i tak ponownie wyciekną z jakiejś firmy. To się dzieje regularnie.” – To sie firmom nie podaje prawdziwych danych bo nie ma takiego obowiazku. Jedynym obowiazkiem to umozliwienie firmie kontaktu z toba i dostarczenie ci uslugi i na biezoco regulowanie rachunkow tylko o to im chodzi najbardziej. Zreszta oni zadnych swoich danych mi nie udostepniaja wiec z jakiej racji ja mam udostepniac? Ja zawsze robie tak ze zbieram dane wszystkich pracownikow nawet tych w urzedach, skoro oni posiadaja moje dane to ja bede posiadal ich. Takie zabezpieczenie wprowadzilem i jak przez nich jakis oszust bedzie posiadal moje dane to ja ich dane sobie shandluje albo upublicznie tyle w temacie, niech sobie nie mysla ze beda mnie narazac pajace.

  28. Niestety próba zasięgnięcia informacji w BOK a2mobile o tym jakie dane były u tego podwykonawcy to jak rozmowa ze ślepym o kolorze. Żeby mi podać taką informację dostaję w mailu info
    “zgodnie z Regulaminem Świadczenia Usług Telekomunikacyjnych a2mobile „Jeśli zgłoszona sprawa wymaga sprawdzenia Twojej tożsamości, przygotuj Kod PUK lub dane podane podczas Rejestracji”.
    Mam u nich numer prepaidowy.
    Na pytanie czy te dane plus mój PESEL wystarczą do np. wyrobienia duplikatu karty SIM (vide przypadek T-Mobile opisywany wcześniej) panienki z BOK odsyłają mnie na infolinię skoro chcę zmienić nr telefonu. A standardowy komunikat to:
    “W trosce o bezpieczeństwo naszych Klientów, mimo, że nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone, to poinformowaliśmy Klientów o prawdopodobieństwie zaistnienia zdarzenia mogącego skutkować dostępem osób nieuprawnionych do baz danych u zewnętrznego Dostawcy systemu rozliczeniowego.
    Obecnie trwa pełna analiza zdarzenia. Wszystkie dostępne informacje umieszczone są na naszej stronie internetowej https://a2mobile.pl/20210813 . W miarę napływu nowych danych będziemy aktualizować komunikat, prosimy o cierpliwość.” Dobór panien do BOK jest chyba do bani
    Prośba – może Wy spróbujcie uzyskać informację jakie dane i jakich klientów (prepaid, faktura) mogły wyciec.

  29. Jestem laikiem ale myślę, że im te dane zaszyfrowali. Nie wiadomo, czy już się “uszczelnili”. Pytanie czy ten podmiot zewnętrzny to ta sieć, która ostatnio zmienia logo i na którego infrastrukturze pracowali.

Odpowiadasz na komentarz tomek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: