10:42
2/6/2020

Aż chciałoby się krzyknąć Yo! Dawg! Słyszałem, że lubisz wycieki danych, no wiec wyciekliśmy Twoje dane kiedy informowaliśmy Cię o tym, że wyciekliśmy Twoje dane, abyś mógł poczuć jak wyciekają dane kiedy czytasz o ich wycieku.

Sprawa dotyczy wycieku danych klientów Fortum, o którym informowaliśmy najpierw w tym artykule, a potem w drugim, poświęconym temu, że sprawie zaczął się przyglądać regulator. Przypomnijmy, klientom Fortum wyciekły dane numerów dowodów i PESELE oraz imiona, nazwiska, adresy i numery telefonów.

W naszym artykule, zwróciliśmy uwagę na to, że firma informowała klientów jedynie przez stronę internetową. Dziś możemy potwierdzić, że do poszkodowanych Polaków firma Fortum wysyła zarówno przesyłki listowne (papierowe):

jak i e-maile, o takiej treści:

I właśnie jedna z wysyłek e-mailowych okazałą się być bardzo niefortunną, bo poza treścią z komunikatem dla ofiary zawierała załącznik z o nazwie: bez nr dowodu 26.05 12.00.csv zawierający 535 adresy e-mail.

Jak się domyślamy, należące do tych szczęśliwych klientów, których numery dowodów nie wyciekły… ale których adresy e-mail zostały udostępnione nie wiadomo ilu innym poszkodowanym… Auć!

Wysłaliśmy pytania do Fortum z prośbą o doprecyzowanie, dane ilu osób zostały w ten sposób naruszone (wyglada na to, że nie każda wysyłka e-maila do poszkodowanych miała tego typu załączniki). I czy poszkodowaniu zostali już poinformowani.

Aktualizacja

Rzecznik Fortum Jacek Ławrecki błyskawicznie odpowiedział na nasze pytania przesyłając poniższe oświadczenie.

Po wycieku danych osobowych w kwietniu, informowaliśmy klientów, wysyłając im maile w paczkach po ok 500 adresów. W jednym z takich maili – zamiast pisma z przeprosinami – omyłkowo załączyliśmy plik zawierający 535 adresów mailowych, przygotowanych do wysyłki. Nie było tam żadnych innych danych. Do wszystkich tych osób wysłaliśmy informację o pomyłce z prośbą o usunięcie poprzedniej wiadomości. Jeden z adresatów zasugerował nam dobrowolne poddanie się „karze” opisanej na Niebezpiecznik.pl .(https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/).

Korzystając z tego przykładu, postanowiliśmy przekazać książki o bezpieczeństwie w sieci do bibliotek publicznych. Sprawdziliśmy wszystkie inne wysyłki – były przeprowadzone poprawnie. Przeszkoliliśmy pracownika, który popełnił błąd i zaostrzamy wewnętrzne procedury. O zdarzeniu poinformowaliśmy PUODO.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. dziwne, mimo że jestem klientem fortum to nie zostałem poinformowany o wycieku, wręcz twierdzą że moje dane nie wyciekły..

    • Damian dane wyciekły z Fortum Sales & Marketing, może nie masz akurat z tą spółką Fortum umowy

  2. @Damian: a kupujesz od Fortum prąd i gaz? Bo wyciek dotyczył tylko tych klientów, którzy kupowali od Fortum te media.
    Klienci kupujący ciepło, o ile nie byli też klientami kupującymi prąd i gaz, są bezpieczni.
    Dlaczego?
    Bo to tak na prawdę są osobne spółki, inna zajmuje się sprzedażą gazu i prądu, a inna ciepłem.

  3. Jeden mail jest tak niefortunnie zakryty, że domyśliłem się o kogo chodzi ;)

  4. Miło, że moją sugestię “dobrowolnej kary” potraktowali poważnie :-)
    Wyciek dotyczył też danych byłych klientów (byłem ich klientem kilka lat temu i załapałem się do tej szczęśliwej 535tki z niefortunnym załącznikiem).

  5. Niech pierwszy wysle maila ten co nigdy się nie pomylił z załącznikiem:)
    Mi akurat reakcja rzecznika sie bardzo podoba:)

  6. Właśnie dlatego na takich serwisach powinno się rejestrować korzystając z takiej cudownej funkcji współczesnych serwerów pocztowych, jak recipient-delimiter – standardowo jest to znak +.

    Mail ma standardową postać user@domena.tld. Jednak… dla serwera obsługującego recipient-delimiter prawidłowo, na TĘ SAMĄ skrzynkę trafią też maile adresowane do user+jakisznacznik@domena.tld czy nawet user+blablablablablablablablabla31337@domena.tld. A to rodzi fajne wykorzystanie reguł do filtracji poczty przychodzącej na takie adresy, a dodatkowo podając takie “splusowane” adresy w portalach łatwo dowiemy się, skąd leci taki wyciek – zakładając że jednego taga używamy tylko w jednym miejscu. A “skompromitowany” wystarczy zblacklistować regułą :)

    • A nie pomyślałeś że jak taka lista maili trafi do zawodowego spamera to pierwsze co robi to “czyści” adresy usuwając wszystko po znaku + w nazwie użytkowników? Druga czynność to pewnie usunięcie wszystkich kropek z nazw użytkowników gmailowych. To raptem dwa zautomatyzowane regexpy.

Odpowiadasz na komentarz Lukasz032

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: