10:42
2/6/2020

Aż chciałoby się krzyknąć Yo! Dawg! Słyszałem, że lubisz wycieki danych, no wiec wyciekliśmy Twoje dane kiedy informowaliśmy Cię o tym, że wyciekliśmy Twoje dane, abyś mógł poczuć jak wyciekają dane kiedy czytasz o ich wycieku.

Sprawa dotyczy wycieku danych klientów Fortum, o którym informowaliśmy najpierw w tym artykule, a potem w drugim, poświęconym temu, że sprawie zaczął się przyglądać regulator. Przypomnijmy, klientom Fortum wyciekły dane numerów dowodów i PESELE oraz imiona, nazwiska, adresy i numery telefonów.

W naszym artykule, zwróciliśmy uwagę na to, że firma informowała klientów jedynie przez stronę internetową. Dziś możemy potwierdzić, że do poszkodowanych Polaków firma Fortum wysyła zarówno przesyłki listowne (papierowe):

jak i e-maile, o takiej treści:

I właśnie jedna z wysyłek e-mailowych okazałą się być bardzo niefortunną, bo poza treścią z komunikatem dla ofiary zawierała załącznik z o nazwie: bez nr dowodu 26.05 12.00.csv zawierający 535 adresy e-mail.

Jak się domyślamy, należące do tych szczęśliwych klientów, których numery dowodów nie wyciekły… ale których adresy e-mail zostały udostępnione nie wiadomo ilu innym poszkodowanym… Auć!

Wysłaliśmy pytania do Fortum z prośbą o doprecyzowanie, dane ilu osób zostały w ten sposób naruszone (wyglada na to, że nie każda wysyłka e-maila do poszkodowanych miała tego typu załączniki). I czy poszkodowaniu zostali już poinformowani.

Aktualizacja

Rzecznik Fortum Jacek Ławrecki błyskawicznie odpowiedział na nasze pytania przesyłając poniższe oświadczenie.

Po wycieku danych osobowych w kwietniu, informowaliśmy klientów, wysyłając im maile w paczkach po ok 500 adresów. W jednym z takich maili – zamiast pisma z przeprosinami – omyłkowo załączyliśmy plik zawierający 535 adresów mailowych, przygotowanych do wysyłki. Nie było tam żadnych innych danych. Do wszystkich tych osób wysłaliśmy informację o pomyłce z prośbą o usunięcie poprzedniej wiadomości. Jeden z adresatów zasugerował nam dobrowolne poddanie się „karze” opisanej na Niebezpiecznik.pl .(https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/).

Korzystając z tego przykładu, postanowiliśmy przekazać książki o bezpieczeństwie w sieci do bibliotek publicznych. Sprawdziliśmy wszystkie inne wysyłki – były przeprowadzone poprawnie. Przeszkoliliśmy pracownika, który popełnił błąd i zaostrzamy wewnętrzne procedury. O zdarzeniu poinformowaliśmy PUODO.

Przeczytaj także:



8 komentarzy

Dodaj komentarz
  1. dziwne, mimo że jestem klientem fortum to nie zostałem poinformowany o wycieku, wręcz twierdzą że moje dane nie wyciekły..

    • Damian dane wyciekły z Fortum Sales & Marketing, może nie masz akurat z tą spółką Fortum umowy

  2. @Damian: a kupujesz od Fortum prąd i gaz? Bo wyciek dotyczył tylko tych klientów, którzy kupowali od Fortum te media.
    Klienci kupujący ciepło, o ile nie byli też klientami kupującymi prąd i gaz, są bezpieczni.
    Dlaczego?
    Bo to tak na prawdę są osobne spółki, inna zajmuje się sprzedażą gazu i prądu, a inna ciepłem.

  3. Jeden mail jest tak niefortunnie zakryty, że domyśliłem się o kogo chodzi ;)

  4. Miło, że moją sugestię “dobrowolnej kary” potraktowali poważnie :-)
    Wyciek dotyczył też danych byłych klientów (byłem ich klientem kilka lat temu i załapałem się do tej szczęśliwej 535tki z niefortunnym załącznikiem).

  5. Niech pierwszy wysle maila ten co nigdy się nie pomylił z załącznikiem:)
    Mi akurat reakcja rzecznika sie bardzo podoba:)

  6. Właśnie dlatego na takich serwisach powinno się rejestrować korzystając z takiej cudownej funkcji współczesnych serwerów pocztowych, jak recipient-delimiter – standardowo jest to znak +.

    Mail ma standardową postać user@domena.tld. Jednak… dla serwera obsługującego recipient-delimiter prawidłowo, na TĘ SAMĄ skrzynkę trafią też maile adresowane do user+jakisznacznik@domena.tld czy nawet user+blablablablablablablablabla31337@domena.tld. A to rodzi fajne wykorzystanie reguł do filtracji poczty przychodzącej na takie adresy, a dodatkowo podając takie “splusowane” adresy w portalach łatwo dowiemy się, skąd leci taki wyciek – zakładając że jednego taga używamy tylko w jednym miejscu. A “skompromitowany” wystarczy zblacklistować regułą :)

    • A nie pomyślałeś że jak taka lista maili trafi do zawodowego spamera to pierwsze co robi to “czyści” adresy usuwając wszystko po znaku + w nazwie użytkowników? Druga czynność to pewnie usunięcie wszystkich kropek z nazw użytkowników gmailowych. To raptem dwa zautomatyzowane regexpy.

Odpowiadasz na komentarz Damian

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: