2/6/2020
Aż chciałoby się krzyknąć Yo! Dawg! Słyszałem, że lubisz wycieki danych, no wiec wyciekliśmy Twoje dane kiedy informowaliśmy Cię o tym, że wyciekliśmy Twoje dane, abyś mógł poczuć jak wyciekają dane kiedy czytasz o ich wycieku.
Sprawa dotyczy wycieku danych klientów Fortum, o którym informowaliśmy najpierw w tym artykule, a potem w drugim, poświęconym temu, że sprawie zaczął się przyglądać regulator. Przypomnijmy, klientom Fortum wyciekły dane numerów dowodów i PESELE oraz imiona, nazwiska, adresy i numery telefonów.
W naszym artykule, zwróciliśmy uwagę na to, że firma informowała klientów jedynie przez stronę internetową. Dziś możemy potwierdzić, że do poszkodowanych Polaków firma Fortum wysyła zarówno przesyłki listowne (papierowe):
jak i e-maile, o takiej treści:
I właśnie jedna z wysyłek e-mailowych okazałą się być bardzo niefortunną, bo poza treścią z komunikatem dla ofiary zawierała załącznik z o nazwie: bez nr dowodu 26.05 12.00.csv zawierający 535 adresy e-mail.
Jak się domyślamy, należące do tych szczęśliwych klientów, których numery dowodów nie wyciekły… ale których adresy e-mail zostały udostępnione nie wiadomo ilu innym poszkodowanym… Auć!
Wysłaliśmy pytania do Fortum z prośbą o doprecyzowanie, dane ilu osób zostały w ten sposób naruszone (wyglada na to, że nie każda wysyłka e-maila do poszkodowanych miała tego typu załączniki). I czy poszkodowaniu zostali już poinformowani.
Aktualizacja
Rzecznik Fortum Jacek Ławrecki błyskawicznie odpowiedział na nasze pytania przesyłając poniższe oświadczenie.
Po wycieku danych osobowych w kwietniu, informowaliśmy klientów, wysyłając im maile w paczkach po ok 500 adresów. W jednym z takich maili – zamiast pisma z przeprosinami – omyłkowo załączyliśmy plik zawierający 535 adresów mailowych, przygotowanych do wysyłki. Nie było tam żadnych innych danych. Do wszystkich tych osób wysłaliśmy informację o pomyłce z prośbą o usunięcie poprzedniej wiadomości. Jeden z adresatów zasugerował nam dobrowolne poddanie się „karze” opisanej na Niebezpiecznik.pl .(https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/).
Korzystając z tego przykładu, postanowiliśmy przekazać książki o bezpieczeństwie w sieci do bibliotek publicznych. Sprawdziliśmy wszystkie inne wysyłki – były przeprowadzone poprawnie. Przeszkoliliśmy pracownika, który popełnił błąd i zaostrzamy wewnętrzne procedury. O zdarzeniu poinformowaliśmy PUODO.
dziwne, mimo że jestem klientem fortum to nie zostałem poinformowany o wycieku, wręcz twierdzą że moje dane nie wyciekły..
Damian dane wyciekły z Fortum Sales & Marketing, może nie masz akurat z tą spółką Fortum umowy
@Damian: a kupujesz od Fortum prąd i gaz? Bo wyciek dotyczył tylko tych klientów, którzy kupowali od Fortum te media.
Klienci kupujący ciepło, o ile nie byli też klientami kupującymi prąd i gaz, są bezpieczni.
Dlaczego?
Bo to tak na prawdę są osobne spółki, inna zajmuje się sprzedażą gazu i prądu, a inna ciepłem.
Jeden mail jest tak niefortunnie zakryty, że domyśliłem się o kogo chodzi ;)
Miło, że moją sugestię “dobrowolnej kary” potraktowali poważnie :-)
Wyciek dotyczył też danych byłych klientów (byłem ich klientem kilka lat temu i załapałem się do tej szczęśliwej 535tki z niefortunnym załącznikiem).
Niech pierwszy wysle maila ten co nigdy się nie pomylił z załącznikiem:)
Mi akurat reakcja rzecznika sie bardzo podoba:)
Właśnie dlatego na takich serwisach powinno się rejestrować korzystając z takiej cudownej funkcji współczesnych serwerów pocztowych, jak recipient-delimiter – standardowo jest to znak +.
Mail ma standardową postać user@domena.tld. Jednak… dla serwera obsługującego recipient-delimiter prawidłowo, na TĘ SAMĄ skrzynkę trafią też maile adresowane do user+jakisznacznik@domena.tld czy nawet user+blablablablablablablablabla31337@domena.tld. A to rodzi fajne wykorzystanie reguł do filtracji poczty przychodzącej na takie adresy, a dodatkowo podając takie “splusowane” adresy w portalach łatwo dowiemy się, skąd leci taki wyciek – zakładając że jednego taga używamy tylko w jednym miejscu. A “skompromitowany” wystarczy zblacklistować regułą :)
A nie pomyślałeś że jak taka lista maili trafi do zawodowego spamera to pierwsze co robi to “czyści” adresy usuwając wszystko po znaku + w nazwie użytkowników? Druga czynność to pewnie usunięcie wszystkich kropek z nazw użytkowników gmailowych. To raptem dwa zautomatyzowane regexpy.