21:14
18/2/2020

Ergo Hestia właśnie rozesłała do swoich klientów (miejmy nadzieję, że tylko niektórych) informację o tym, że w wyniku “nieautoryzowanego dostępu do systemu informatycznego” dane osobowe klientów zostały utracone, a mogły także zostać wykradzione.

TL;DR

Incydent miał miejsce 11 lutego i dotyczył agenta Ergo Hestii — firmy Unilink S.A. Trzymamy więc kciuki, żeby nie wszyscy klienci Ergo byli w bazach tego agenta. Zakres danych, które znajdowały się w utraconej/wykradzionej bazie to:

Imię i nazwisko
Adres zamieszkania
PESEL
Data urodzenia
Płeć
Adres e-mail (o ile został podany)

Według Ergo, poszkodowani klienci mogą być narażeni na szkody majątkowe (lub niemajątkowe), takie jak kradzież tożsamości lub strata finansowa. Ryzyka Ergo wymienia całkiem porządnie, więc je zacytujmy (pisownia oryginalna):

  • próby uzyskania przez osoby trzecie dostępu do Pana danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie lub przez internet potwierdzając tożsamość za pomocą numeru PESEL,
  • uzyskania dostępu do świadczeń opieki zdrowotnej,
  • zawarcia umowy cywilnoprawnej np. najmu nieruchomości przez osoby nieuprawnione,
  • zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć
    do celów przestępczych,
  • skorzystania z usługi online przez nieuprawnioną osobę,
  • skorzystania z praw obywatelskich np. wykorzystanie Pana danych do oddania głosu w głosowaniu w ramach budżetu obywatelskiego,
  • próby wyłudzenia odszkodowania z umowy ubezpieczenia,
  • posłużenia się fałszywymi danymi w celu ukrycia tożsamości np. przy otrzymywaniu mandatu,
  • usyskania przez osoby trzecie kredytu lub pożyczki w instytucjach pozabankowych (i bankowych też — dop. red.)
  • np. przez Internet lub telefonicznie, bez konieczności okazywania dokuemntu tożsamości,
  • założenia z użyciem Pana danych osobowych konta internetowego
    (np. w serwisie społecznościowym),

    wykorzystania Pana danych w celu wyłudzenia dodatkowych danych lub informacji ( np. danych do logowania, szczegółów karty kredytowej).

Poniżej pełna treść informacji rozesłanej do klientów:

Informacja o naruszeniu Danych Osobowych
Sopot, 18.02.2020 r.

Szanowny Panie

Wykonując w imieniu Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia SA, obowiązek administratora Pana danych osobowych, przekazanych w procesie zawarcia umowy ubezpieczenia, informujemy, że w dniu 11 lutego 2020 r. doszło do incydentu, wskutek którego Pana dane osobowe znajdujące się w systemach informatycznych naszego agenta Unilink SA z siedzibą w Warszawie, zostały utracone. Dane te, mogą zostać wykorzystane przez osoby nieuprawnione.

W dniu 11 lutego 2020 r. stwierdzono nieautoryzowaną przez administratora systemu informatycznego Unilink SA ingerencję, w skutek której utracona została baza pomocnicza z Pana danymi osobowymi: imię, nazwisko, adres zamieszkania, PESEL, data urodzenia, płeć, adres email (o ile został podany), numer telefonu oraz dane identyfikujące przedmiot ubezpieczenia. Z dużym prawdopodobieństwem możemy sądzić, że powyższe dane zostały tylko usunięte, natomiast nie możemy z całą pewnością wykluczyć, że przed ich skasowaniem, dane nie zostały skopiowane i nie zostaną wykorzystane przez osoby nieuprawnione.

Zgodnie z obowiązującymi w tym zakresie przepisami prawa, w dniu 14 lutego 2020 r. zgłosiliśmy ten incydent do Prezesa Urzędu Ochrony Danych Osobowych jako organu nadzorczego w zakresie ochrony danych osobowych. Dodatkowo w dniu 18 lutego 2020 r. złożono zawiadomienie o popełnieniu przestępstwa.

W związku z wystąpieniem Prezesa Urzędu Ochrony Danych Osobowych przekazuję następujące wyjaśnienia.

Dane administratora
Administratorem Pana danych osobowych jest
Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.
adres do korespondencji: ul. Hestii 1, 81-731 Sopot,
numer telefonu: 801 107 107 lub (58) 555 55 55
Dane Inspektora Ochrony Danych
Pani Kamila Czeczko
Dane kontaktowe inspektora ochrony danych:
adres do korespondencji: ul. Hestii 1, 81-731 Sopot
adres email: iod@ergohestia.pl
formularz kontaktowy: znajduje się w sekcji OCHRONA DANYCH OSOBOWYCH na stronie www.ergohestia.pl

Możliwe konsekwencje naruszenia Pana danych osobowych.

Naruszenie może skutkować powstaniem szkód majątkowych lub niemajątkowych takich jak: utrata kontroli nad danymi, kradzież lub sfałszowanie tożsamości, strata finansowa.

W szczególności Pana dane osobowe mogą być wykorzystane w celu .in..:
próby uzyskania przez osoby trzecie dostępu do Pana danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie lub przez internet potwierdzając tożsamość za pomocą numeru PESEL,
uzyskania dostępu do świadczeń opieki zdrowotnej,
zawarcia umowy cywilnoprawnej np. najmu nieruchomości przez osoby nieuprawnione,
zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć
do celów przestępczych,
skorzystania z usługi online przez nieuprawnioną osobę,
skorzystania z praw obywatelskich np. wykorzystanie Pana danych do oddania głosu w głosowaniu w ramach budżetu obywatelskiego,
próby wyłudzenia odszkodowania z umowy ubezpieczenia,
posłużenia się fałszywymi danymi w celu ukrycia tożsamości np. przy otrzymywaniu mandatu,
usyskania przez osoby trzecie kredytu lub pożyczki w instytucjach pozabankowych
np. przez Internet lub telefonicznie, bez konieczności okazywania dokuemntu tożsamości,
założenia z użyciem Pana danych osobowych konta internetowego
(np. w serwisie społecznościowym),
wykorzystania Pana danych w celu wyłudzenia dodatkowych danych lub informacji ( np. danych do logowania, szczegółów karty kredytowej).

Opis środków proponowanych przez Administratora w celu zaradzeniu naruszenia oraz zminimalizowania jego ewentualnych negatywnych skutków.
W celu zabezpieczenia Pana danych osobowych przed niewłaściwym wykorzystaniem należy podjąć następujące działania:

zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu,
założenie konta w systemie informacji kredytowej celem monitorowania swojej aktywności kredytowej,
zgłoszenie faktu naruszenia danych właściwym organom ścigania np. policji czy prokuratury w celu zapobieżenia „kradzieży tożsamości”.

W związku z zaistniałym naruszeniem u agenta przeprowadzono kontrolę stosowanych zabezpieczeń, dokonano aktualizacji zabezpieczeń oraz zmiany danych uwierzytelniających użytkowników systemu informatycznego. Dodatkowo dokonujemy przeglądu stosowanych procedur bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Planowany jest audyt bezpieczeństwa.

Jeżeli dowie się Pan o wykorzystaniu Pana danych przez osobę nieuprawnioną prosimy o jak najszybsze przekazanie nam tej informacji.

Informujemy , że przysługują Pani/Panu następujące prawa:

prawo dostępu do swoich danych osobowych;
prawo żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych;
prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych – w takim zakresie w jakim są one przetwarzane na potrzeby marketingu bezpośredniego;
prawo do przenoszenia danych osobowych tj. do otrzymania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo przesłania do innego administratora;
prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych;
prawo do wycofania zgody, bez wpływu na zgodność z prawem czynności podjętych przed jej wycofaniem;
W celu skorzystania z powyżej wskazanych praw należy skontaktować się z administratorem danych pod adresem prawaosob@ergohestia.pl

W związku z opisanym zdarzeniem przysługuje Panu prawo do:

wniesienia skargi do organu nadzorczego- Prezesa Urzędu Ochrony Danych Osobowych;
wniesienia powództwa o odszkodowanie do Sądu Okręgowego według właściwości miejscowej uregulowanej w Kodeksie postępowania cywilnego.*/

Z wyrazami szacunku
Inspektor Ochrony Danych
Kamila Czeczko

*/ Artykuł 82 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Prawo do odszkodowania i odpowiedzialność
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.(…)

Piękne jest to zdanie o aktualizacji zabezpieczeń i planowaniu audytu bezpieczeństwa. Po. Incydencie. No cóż, należy mieć nadzieję, że Ergo Hestia skorzystała z własnej oferty ubezpieczeń i ubezpieczyła się od cyberryzyk ;)


Aktualizacja 18.02.2020, 22:44
Otrzymaliśmy informacje od “Tajemniczej Pandy”, która po nie jednym drzewie grasowała, że agent Unilink jest tzw. multiagencją, co oznacza że obsługuje klientów także innych znanych marek firm ubezpieczeniowych.

Nasz informator przypuszcza w związku z tym, że “system informatyczny” mógł zawierać także dane klientów innych firm niż Ergo Hestia, a po prostu Hestia jako pierwsza zdecydowała się o tym poinformować swoich klientów.

Analizujemy tę sprawę i kiedy otrzymamy odpowiedzi na e-maile które rozesłaliśmy tu i tam, zaktualizujemy ten artykuł.


Aktualizacja 19.02.2020, 15:20
Firma Unilink do tej pory nie odpowiedziała na nasze pytania, ale otrzymaliśmy następujące dodatkowe informacje w sprawie tego incydentu od Ergo Hestii:

Informujemy, że w ERGO Hestii nie doszło do wycieku danych. Wyjaśniamy, że w dniu 12 lutego nasz agent Unilink SA poinformował nas, że stwierdził nieautoryzowane usunięcie bazy logów, zawierających dane osobowe, ze swojego systemu informatycznego. Usunięte logi dotyczą mniej niż 1% Klientów ERGO Hestii. Na chwilę obecną nie ma żadnych dowodów, że dostęp do danych osobowych uzyskała osoba nieuprawniona.
Niemniej jednak w trosce o interes naszych Klientów zdecydowaliśmy się
powiadomić o tym zdarzeniu osoby, których dane znajdowały się w bazie logów. Potencjalne negatywne konsekwencje dla osób zostały opisane w przesłanym zawiadomieniu.
O naruszeniu danych zostały powiadomione odpowiednie organy – Prezes Urzędu Ochrony Danych
Osobowych oraz policja. Nasi Klienci zostali poinformowani, że naruszenie może skutkować powstaniem szkód majątkowych lub niemajątkowych takich jak: utrata kontroli nad danymi, kradzież lub sfałszowanie tożsamości, strata finansowa. Zwróciliśmy uwagę na zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu, zasugerowaliśmy założenie konta w systemie informacji kredytowej celem monitorowania swojej aktywności kredytowej oraz zgłoszenie faktu naruszenia danych właściwym organom ścigania np. policji czy prokuratury w celu zapobieżenia „kradzieży tożsamości”.


Aktualizacja 19.02.2020, 19:56
Unilink wciąż nie odpisał na nasze pytania, ale ktoś bardzo zbliżony do sprawy, używający pseudonimu Duży Wróbel, informuje że na zamkniętej grupie pracowników Unilink, w sprawie tego incydentu pojawiły się następujące informacje:

— dotkniętym systemem miał być kalkulator UniAuto dla którego Hestia przygotowała “taryfę”
— mniej technicznym agentom przekazuje się informacje o incydencie w takich słowach: “to robot który działa globalnie i próbuje się włamać do tysięcy firmy i kasować dane” (tak, wiemy wciąż niczego to nie wyjaśnia ;)
— problem miał dotyczyć ok. 5000 osób

Dziękujemy wszystkim pracownikom Unilink za informacje. I z przyjemnością otrzymamy ich więcej. Anonimowość gwarantujemy, a kontaktującym się z nami sugerujemy nie używać do tego firmowego sprzętu i łącza ;)

Przeczytaj także:



65 komentarzy

Dodaj komentarz
  1. Chyba jednak nie wyciekły dane wszystkich klientów, albo jeszcze nie wszystkich poinformowali. Do mnie nie dotarła wiadomość o incydencie, a mam u nich ubezpieczenie od lat.

    • A ubezpieczałeś się u agenta Unilink? To do ich bazy nastąpiło włamanie.

  2. Intryguje mnie ta aktualizacja zabezpieczeń? Czy to oznacza, że zaktualizowali system nieaktualizowany od dwóch lat? A może włączyli firewall?

  3. Incydent jak incydent (:P), ale rzeczywiście bardzo ładnego maila z wyjaśnieniem i ostrzeżeniem wysłali. Dostają więc mały plusik za porządną akcję informacyjną ;)

    • Bo musza. Jeśli nie chcą dostać tak dużej kary finansowej

    • Rafal, zauważ jednak że mimo obowiązku nie każda firma aż takiego maila skrobie

  4. Czy skoro to Unilink jest odpowiedzialne za wyciek, to czy nie ta firma powinna informować klientów, nie Ergo? Wiadomo czy wyciekły dane innych firm ubezpieczeniowych obsługiwanych przez Unilink?

    • Skoro Administratorem Danych Osobowych jest ERGO to raczej oni mają obowiązek informowania “wyciekniętych” ludzi.

  5. A gdzie standardowe co robić jak żyć?

    • Smarować, wtedy mniej boli :-)

    • Trolik, Ty coś o tym wiesz, nie?

  6. Unilink to jeden z największych (o ile nie największy) obecnie pośrednik ubezpieczeniowy w Polsce. Ciekawe, jaka jest rzeczywista skala problemu, ilu firm i ilu klientów może dotyczyć.

  7. “(…) stwierdzono nieautoryzowaną przez administratora systemu informatycznego Unilink SA ingerencję, w skutek której utracona została baza pomocnicza(…) ”

    Ja rozumiem, że została utracona baza pomocnicza Unilink (należąca do agenta) w której były dane klientów Ergo a nie baza klientów Ergo.
    Tytuł artykułu wskazuje na coś innego.

  8. Mogło być gorzej , w Virgin poleciał też mój numer i seria dowodu osobistego. Oczywiście operator ma to w dupie . Zero refleksji i odpowiedzialności .

  9. Bo musza. Jeśli nie chcą dostać tak dużej kary finansowej

  10. W takim razie potencjalny problem wycieku danych z innych firm będzie dotyczył tylko osób, które zawarły umowę z tymi firmami poprzez miltiagencję Unlink? Czy też należy zastosować prawa Murphy’ego i założyć, że Unlink miało dostęp do szerszej bazy klientów tych firm?

    • Nie, szerszego dostępu nie mogło być.

  11. Multiagenci korzystają z api Hestii w którym mogą odpytać o osobę po numerze peseli plus imię i nazwisko (wysokość zniżek itd), często keszuja sobie odpowiedzi po swojej stronie, w celu analizy opłacalności transakcji.

  12. Należy znieść numery PESEL i przestać gromadzić jakiekolwiek informacje o miejscu zamieszkania. To są warunki brzegowe jakiejkolwiek prywatności w tym kraju.

  13. Wg przepisów RODO, jeżeli Unilink jest multiagencją, to jest samodzielnym administratorem.
    Nie doszło w takim razie do wycieku danych Ergo Hestia, ale do wycieky danych Unilink.
    W konsekwencji to Unilink powinien informować o tym, a Ergo Hestia nie ma takiego obowiązku na gruncie RODO.

    • No nie do końca się zgodzę, multiagencja może być tak samo podmiotem przetwarzającym w myśl art. 28 RODO – nie koniecznie musi być osobnym ADO. Wszystko jest uzależnione od formy współpracy multiagenta z ubezpieczycielem.
      Moim zdaniem żaden ubezpieczyciel nie udostępniał by danych innemu administraotrowi – wszak to jego klienci – moim zdaniem i tutaj jestem na 99% pewny, że to jest podmiot przetwarzający dla Hestii.

      A co do samego komunikatu Hestii.
      Moim zdaniem należą się wielkie brawa dla Pani IOD z Hestii, ponieważ komunikat jest bardzo jasny, czytelny i spełnia wszelkie wytyczne dotyczące realizacji obowiązku poinformowania osoby o zasiniałym incydencie w myśl art. 34 RODO!!
      WIELKIE BRAWA! tak powinno to wyglądać za każdym razem!

    • Tylko jeżeli konsolidowałby udostępnioną bazę danych a nie pracował na wyznaczonej aplikacji w wyznaczonym zakresie operacji za pomocą wyznaczonych środków (kont), w przeciwnym wypadku był podmiotem przetwarzającym na podstawie umowy powierzenia DO.

    • A Unilink nie będzie podmiotem przetwarzającym? nie znamy zasad współpracy ani umowy powierzenia. Jeśli do zagrożenia, bądź uchybienia doszło u podmiotu przetwarzającego, to on powinien poinformować zarówno Administratora, jak i wszystkie osoby zagrożone. Tym samym Administrator także podlega notyfikacji.

    • > W konsekwencji to Unilink powinien informować o tym, a Ergo Hestia nie ma
      > takiego obowiązku na gruncie RODO.

      Chyba, że jest jak kolega Dex sugerował – Unilink cachował sobie lokalnie zapyta do API Hestii dot. zniżek ich klientów gdy odpowiadał na zapytania ofertowe. Taka baza mogła być traktowana troche po macoszemu, bo to w końcu “tylko cache”, mógł to być np. jakiś redis/memcache którego port w pewnym momencie przypadkiem został otwarty na fw, i który stanął otworem przed wszystkimi chętnymi.

      W takim wypadku de facto tylko dane Hestii by wyciekły, i formalnie problem miała by Hestia, a nie Unilink.

    • Możesz podać paragrafy rozporządzenia, z których wynika, że “[…] jeżeli Unilink jest multiagencją, to jest samodzielnym administratorem.”?

  14. Tajemnicza Panda Ameryki nie odkryła, że Unilink jest multiagentem. Chyba nikt rozsądny nie myśli, że Unilink w jednym systemie trzyma dane z różnych ubezpieczycieli. Dla każdego ubezpieczyciela Unilink pewnie ma odrębny system, żeby mieć rozliczalność z każdym z ubezpieczycieli.

    • dla wewnętrznego agenta TU w systemie wyglądają tak samo. Byłbym ostrożny z tym “inna baza”.

  15. A może to jest po prostu wyciek Unilinka, który powinien zrobić to co zrobiła hestia

    • Duże multiagencje mają jeden system sprzedaży polis dla wszystkich TU. Chodzi o ułatwienie pracy agentów. Raz wprowadzają dane klienta i system liczy oferty wszystkich TU.

  16. Powinni stworzyć możliwość generowania osobnego PESEL-u do każdej usługi :)

  17. To kiedy te dane wypłyną było kwestią czasu. Wystarczy pójść do jakiegoś agenta ubezpieczeniowego, aby przekonać się, że ich właściciele nigdy nie byli na szkoleniu u Piotra Pracownicy agencji bardzo często pracują na ultra starych komputerach, do tego IE, bo część aplikacji tylko na tym działa, hasła zapisane w przeglądarce, praca w msoffice i na plikach przesłanych od klientów, do tego kompy na biurku zwrócone złączami USB do klienta. Można pisać wiele scenariuszy ataku

  18. Nie pierwszy i nie ostatni raz taka sytuacja nastąpiła. Oni przynajmniej szybko poinformowali klientów i zrobili to w sposób kulturalny.

  19. Nie, gdyż oni są podmiotem przetwarzającym, administratorem danych jest Ergo Hestia, więc to oni informują.

    • Duże multiagencje mają jeden system sprzedaży polis dla wszystkich TU. Chodzi o ułatwienie pracy agentów. Raz wprowadzają dane klienta i system liczy oferty wszystkich TU.

  20. Mam wrażenie, że już kiedyś czytałem o wycieku danych akurat w tej firmie. Niezrozumiałe dla mnie jest, jak może do tego dojść w przedsiębiorstwie dysponującym tak ogromnym budżetem i sztabem specjalistów. Może to działanie celowe, może kolejny sposób na zarabianie pieniędzy? Może ktoś coś?

    • nie kazda instytucja ma “ogromny budzet i sztab specjalistow”. nawet te duze

      czesto jest myslenie biznesowe: nie potrzeba wiecej ludzi niz do bierzacej pracy. jesli incydent zdarza sie raz na rok, to nie jest to bierzaca praca, wiec i szkoda kasy na ludzi/oprogramowanie/sprzet.

      unilinka nie znam, ale to jest tylko posrednik, jest szansa ze oprocz agentow to pracuje tam w sumie parenascie-paredziesiat osob

    • Już bez teorii spiskowych. Wycieki były, są i będą. Zdarzyć się może każdemu, małym, dużym firmom. Z updatedu nr 2 wynika, że zniknęły logi z danymi w Unilinku. Nie ma nawet potwierdzenia, że dane zostały skopiowane, wykorzystane, tylko zostały usunięte.

  21. Oj tam. a danymi w księgach wieczystych online (imię, nazwisko, imiona rodziców, pesel, data urodzenia) jakoś nikt się w ministerstwach nie przejmuje. Wystarczy poszukać numerów ksiąg wieczystych w googlu i masz nawet czasami z dodatkowym bonusowym adresem (licytacje komornicze, bipy urzędów itp) a niektóre grunty mają po kilkunastu właścicieli

  22. No to trzeba zmienic!

    Mozna sprzedac dom, urzedowo zmienic Imie, Nazwisko – chociaz nie, nawet jesli poczta czy sad nie darady komornik zawsze znajdzie. Plec jest troche lepsza, ale tez nie 100%.
    Co tak naprawde trzeba zmienic zeby byc bezpiecznym to: PESEL i date urodzenia…

    Czy tylko ja uwazam ze udzielanie jakikolwiek kredytow, sprzedarz czy jakiekolwiek inne powazne tranzakcje, autoryzowane tak skapa, narzucona i efektywnie niemozliwa do zmienienia sa niczym innym jak wspolodzialem w oszustwie?
    Az tak trudno dac obywatelowi jakies glupie haslo?

  23. No po aktualizacji to wgl zyskali w moich oczach. Nie wiadomo czy doszło do wycieku, a mimo wszystko poinformowali klientów, żeby byli świadomi! Gdyby tak wszystkie firmy robiły…

  24. Niebezpieczniku! Zapoczątkujcie jakąś inicjatywę aby ludzie się skrzyknęli i sprawa wyłudzeń w na podstawie danych mogła być zakończona. Przecież to co się dzieje to jest tragedia. Nikt się tym nie przejmuje. Skoro czasy poszły do przodu to i sposób uwierzytelniania powinien zmienić formę. A jeśli jakaś firma nie będzie korzystała z uwierzytelniania “nowej generacji” to ryzykuje swoimi pieniędzmi. Ma prawo ale ryzykuje. Ich sprawa. A nie ja się musze martwić czy ktoś na mnie kredytu nie zaciągnie… Zróbcie coś z tym bo jak nie Wy to nikt!

  25. Dostał ktoś może pismo do zapłaty z Hestii po tym ataku? Dostałem pismo od nich ni z gruchy ni pietruchy i nie wiem czy to wałek czy nie.

    • a to nie wiesz czy im wisisz kasę czy nie? Spoko, nie przejmuj sie, jak przyjdzie komornik to znaczy że to nie wałek, jak nie przyjdzie to nie ma co się martwić.

    • Ja dostałem smsa z informacją o dopłacie do 40zl… Z numerem polisy.

  26. Drogi Niebezpiecznik i podążająca za Wami lożo szyderców,
    To chyba dość oczywiste, że w ramach wyjaśniania potencjalnie istotnego incydentu wykonają pracę, którą nazwali tu “audytem” (w odpowiedzi na pytanie “jak to możliwe, skoro wydajemy na bezpieczeństwo xyz pierdylionów”) i, że zaktualizują (czytaj poprawią lub wdrożą dodatkowe) zabezpieczenia. Co w tym śmiesznego? Gdzie w tym komunikacie wyczytujecie zasugerowane między wierszami, że wcześniej audytów nie robili, ani o zabezpieczenia nie dbali?
    Owszem- w wielu firmach sytuacja nadal woła o pomstę do nieba, ale nie do końca są to te same, które później mają incydenty. Jeśli wiecie coś więcej o zaniedbaniach tych firm to śmiało- napiszcie. A podśmiechujki z kogoś, kto miał incydent?

    • Poniewaz tego typu audyty to troche tak jakby uczyc dzieci poprawnie poslugiwac sie nozem po tym jak kogos/siebie potna a zapalkami po tym jak puszcza z dymem dom.

      Kazdy obywatel ma swoje dane w przynajmniej kilku firmach/instytucjach gdzie wystarczy ze tylko niewielki procent z firm “uczy sie na bledach” (gdzie takich bledow moze byc ilosc doslownie nieograniczona) i cala ochrona danych osobowych traci sens bo dane wszystkich ludzi sa dostepne na czarnym rynku…

      Prawda jest taka, jesli instutucja/firma racjonalnie dba o dane klientow to jest bardzo mala szansa ze one wyciekna, tylko ze to sa koszta – poblarzajac wycieki firmom zle zarzadzanym, promujesz zle zachowania wynagradzajac ten wyciek korzysciami wynikajacymi z wczesniejszych “oszczednosci” ktore go umozliwily/ulatwily…

  27. Jak u mnie w firmie dojdzie do wycieku to napisze w komunikacie “miesiąc temu mieliśmy audyt bezpieczeństwa który nic nie wykrył się nie czujemy potrzeby robienia teraz kolejnego”.

  28. Chylę czoła przed Ergo Hestią za otwartość, bo niemal każda firma, a przodują w tym banki, takie sprawy zamiatają pod dywan. Też się u nich ubezpieczam, ale nie u tego agenta.

    • Przesada, to nie jest firma handlowa, czy produkcyjna. Dla nich dane to istota działalności, bez danych nie byłoby pracy. I w takiej firmie one giną?! To tak, jakby w wojsku zginęła broń – po co mi takie wojsko. Jasne, że to się zdarza, czy jednak w takim przypadku jedyną konsekwencją byłoby wysłanie listu do potencjalnych ofiar? Chciałbyś dostać taki list, że masz się sam bronić bo wiczorem przyjdą bandyci???
      Przy całym szacunku dla pracowników – dla mnie totalna dyskwalifikacja.
      A w temacie dywanu – masz pewność, że do tej pory nic się nie wydarzyło?

    • Nie znam tej firmy, ale firma ubezpieczeniowa, której wyciekają dane to gruba pomyłka. Powinni zatrudnić jakiegoś informatyka – oni wiedzą jak szanować dane..

    • @Legion
      Musisz być świadomy, że zarówno hardware jak i software jest naszpikowany
      backdorami (wiemy to m.in. od Snowdena) i takie rzeczy się będą zadarzaly coraz częściej. Choćby dlatego, że człowiek też może być backdoorem, świadomym lub nieświadomy.

      Zwykłym ludziom pozostaje w takiej systuacji śledzić doniesienia prasowe, czy jego dane nie wyciekły, i czasami prewencyjnie zmienić dowód na nowy (jeśli ktoś nie lubi chodzić po sądach i udowadniać, że nie wziął kredytu).

      Moim zdaniem dane osobowe nie powinny być chronione prawnie, tak jak
      dane jednoosobowego przedsiębiorcy nie są chronione. Dopiero gdy
      udowodnisz, że doznałeś szkody w skutek działań kogoś innego i twoich danych,
      wtedy możesz dochodzić swoich praw.

      Jak banki zaczną dawać kredyty na “podpis elektroniczny”, a twoja cyfrowa tożsamość zostanie skradziona, to wtedy nie sposób udowodnić, że to nie ty wziąłeś kredyt.

      Gdyby komornicy mieli obowiązek udowodnić przed sądem każdy przypadek przez potwierdzenie podpisu dłużnika, nie byłoby takich problemów z kradzieżą tożsamości. Sektor finansowy wylobbowal sobie zbyt duże przywileje i stąd cały problem skradzionej tożsamości.

  29. “Piękne jest to zdanie o aktualizacji zabezpieczeń i planowaniu audytu bezpieczeństwa. Po Incydencie”

    Przecież to normalna procedura po takim zdarzeniu… tylko kolejność powinna być odwrotna – najpierw audyt a później aktualizacja :P.

  30. Firmy niestety w takim sytuacjach uczą się o konieczności poprawnego zabezpieczenia danych. Plus za info i wyjaśnienia, nie wyciekła cała baza tylko parę procent, także mogło być gorzej :)

  31. Jestem klientem agencji Unilink, a do niedawna korzystałem również z oferty Tu Ergo Hestia. Hestia również rozliczała moje szkody komunikacyjne, przede wszystkim za pośrednictwem BLS. Dziwnym trafem, na początku tygodniu, zadzwonił do mnie nieznany numer, a po odebraniu usłyszałem mniej więcej taki komunimat: “Ubezpieczalnie stale zaniżają wartości odszkodowań, jeśli miałeś szkodę w ostatnich 3 latach, skontaktuj się z naszą kancelarią”. Trochę zainteresował mnie ten telefon, bo z reguły nie wyrażam zgody na kontakty marketingowe. Ciekawe, czy ma to jakiś związek ze wspomnianym wyciekiem/utratą danych, czy jedynie zbieg okoliczności.

    • Wygląda na to że ktoś już korzysta z tej bazy. Dane w PL są tak chronione jak kartofle w warzywniaku. Można to rozwiązać, duże kary za nadużycie danych, powiadamianie właściciela danych o próbach nieutoryzowanego wykorzystania danych, co najmniej 2-stopniowe weryfikację etc. Nie pocieszę jak dodam, że oprócz rządu który ma szczegółowe dane o 100% społeczeństwa w tym pesel są 4 firmy z tej samej branży telekom. GSM zagraniczne które łącznie mają dane niemal 100% społeczeństwa w Polsce. Same dane nie są problemem a to kto je ma i jakie ma intencje.

  32. A ja trochę stanę w poprzek powszechnemu zachwytowi nad komunikatem Hestii, bo nie do końca rozumiem w jaki sposób:
    a) zgłoszenie wycieku na policję lub
    b) lepsze pilnowanie swoich danych
    może “zaradzić naruszeniu lub zminimalizować jego skutki”. Jedynie założenie konta w systemie monitorującym jest jako tako sensowną poradą po wycieku. Wykonanie pozostałych dwóch rad absolutnie nic nie zmienia w sytuacji osoby której dane wyciekły.

  33. To pytanie do specjalistów i IOD…
    czy ktoś mi może powiedzieć z czego wynika zastosowanie w informacji o naruszeniu danych przesłanej do klienta zapisu “Prawo do odszkodowania i odpowiedzialność”
    Przecież on nie wynika z RODO, a w interesie Administratora nie jest przecież zachęcanie do skorzystania z Art. 82 RODO????
    Poproszę tylko o przemyślane odpowiedzi.

  34. offtop ale ciekawy strategicznie:
    https://www.reuters.com/article/us-usa-pentagon-braininjury-insight/hit-with-a-truck-how-irans-missiles-inflicted-brain-injury-on-u-s-troops-idUSKBN20E17K

    w skrócie: Iran atakuje bazę w Iraku; USA chwalą się, że nikt nie zginął (bo nie zginął) i jakie z tych Irańczykow ciołki; tydzień później prawie 200 troopsów ma poharatane mózgi.
    Jak sie okazuje od wybuchów w bazie.
    Wniosek (może zbyt wczesny?): Iran tak zaplanował atak, by żołnierzy nie zabić, ale by fala uderzeniowa uszkodziła mózg. Tym sposobem nie można im zarzucić zabijania troopsów.
    Jeśli założyć, że takie działanie Iranu byłoby świadome, to …ograli Trumpa na cacy.

  35. to już nie wiem… przez kuriera z centrali, kurier i paciorki kserują dane… pośrednik, tez sobie kopie weźmie… nie można kurde mieć pośrednika ale aby ten NIE gromadził sobie kopii danych? masakra np. masz salon partnerski operatora u siebie w mieście, to PARTNER też sobie kopie MOICH danych ma i mu wyciekło… maskara KIEDY możliwość zmiany PESEL?

  36. Kolejny przykład skąd się biorą nasze dane na czarnym rynku.
    https://www.money.pl/banki/dane-osobowe-slabo-chronione-handel-kwitnie-6480615287690881a.html

  37. Skoro Unilink SA to multiagencja, należy przypuszczać, że wyciekły również dane innych ubezpieczycieli. Dziwne byłoby, gdyby to przytrafiło się tylko Ergo Hestii.

    Chyba, że wyciek pojawił się w postaci przechwycenia maila z pełną bazą klientów :-/

    • Człowieku, przeczytaj całą informację, którą przesłała Ergo Hestia od początku do końca. Usunięto bazę pomocniczą po stronie Unilink, przecież to jest system stworzony między Hestią a pośrednikiem, czyli Unilink. Więc wykasowano bazę z danymi klientów Hestii po stronie Unilink, te dane są nadal dostępne po stronie ubezpieczyciela.
      Po drugie, jaki jest sens i logika, że Unilink informuje tylko jednego ubezpieczyciela o wykasowaniu bazy pomocniczej, a innych ubezpieczycieli już się nie informuje. Gdzie tu logika? Przecież ukrywanie tego przez Unilink wyszło by przy pierwszej lepszej okazji (audyt, kontrola UODO, informacje o wykorzystywaniu danych klientów innych ubezpieczycieli itp.), szczególnie że sprawa nabrał medialnego rozgłosu. To byłoby samobójstwo ze strony Unilink, bo nikt z nimi nie chciałby współpracować po takim numerze.

  38. UWAGA! dostałam SMS iż niby kończy mi się OC i mam w SMS linka którego mam klikać JASNE!!! Poszła baza Hestii, bo on nich bezpośrednio miałam OC, no chyba iż podwykonawca robił za nich..

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: