12:16
21/4/2020

Baza z ponad 3 mln rekordów zawierająca m.in. PESELE i numery dowodów została w wyniku błędu udostepniona publicznie przez firmę Fortum. Klienci tego dostawcy energii mają dobre powody by podjąć działania zabezpieczające.

Kolejne znalezisko Boba

Bardzo byśmy chcieli nie pisać dziś o odkryciach Boba Diachenko, ale niestety musimy. Tutaj przypomnimy, że Diachenko odkrył kiedyś wyciek z MoneyMan.pl i namierzył również bazę dotyczącą 267 mln kont z Facebooku, o której dziś pisaliśmy. Chcąc nie chcąc znów musimy wspomnieć o Bobie.

Diachenko poinformował, że 16 kwietnia natrafił na publicznie dostępny i niechroniony klaster Elasticsearch zawierający 3.376.912 rekordów z następującymi danymi:

  • imię,
  • nazwisko,
  • adres
  • telefon
  • PESEL
  • informacje o umowie (numer umowy, roczny pobór energii itd.).

Wyciekły również numery dowodów osobistych, ale o tym za chwilę.

Wyciek z Fortum

Dane dotyczą klientów firmy Fortum, która dostarcza  na całym świecie energię elektryczną, ciepło, a także “inteligentne rozwiązania, pozwalające na bardziej efektywne wykorzystanie zasobów”. Działalność w Polsce firma rozpoczęła w 2003 roku. Ma trzy elektrociepłownie i ponad 800 km sieci ciepłowniczych. Od roku 2016 sprzedaje energię elektryczną i gaz. Obsługuje klientów indywidualnych i firmy.

Łączna liczba rekordów w bazie nie odpowiada dokładnie liczbie ludzi, których dotknął wyciek ponieważ niektóre osoby miały po kilka podpisanych umów (np. na gaz, ciepło, prąd). Diachenko uważa, że wyciek mógł objąć wszystkich klientów firmy.

Na szczęście w tym przypadku firma działała dość szybko. W wyszukiwarce Shodan adres IP został zindeksowany 15 kwietnia. Diachenko zareagował dzień później wysyłając powiadomienie do Fortum, a firma zabezpieczyła dostęp do bazy w ciągu 24 godzin. Z oświadczenia Fortum cytowanego przez Boba Diachenko wynika, że firma powiadomiła biuro UODO natomiast nie wynikało z niego, czy o wycieku powiadomiono klientów.

W rozmowie z Niebezpiecznikiem Diachenko stwierdził, że niestety istnieje prawdopodobieństwo wykorzystania tej bazy przez osoby, które nie będą miały dobrych zamiarów. Jego zdaniem nawet 24 godziny to okres wystarczająco ryzykowny.

Spytaliśmy też Boba o szczegóły dotyczące ujawnionych w bazie adresów. Dowiedzieliśmy się, że w bazie były m.in. następujące pola powiązane z adresami.

correspondence_address_is_main_address
correspondence_address_city
consumption_point_address_building_number consumption_point_address_postcode
main_address_street
consumption_point_address_postoffice
correspondence_address_building_number
consumption_point_ppe_number
main_address_local_number
main_address_postcode
consumption_point_address_is_main_address

To sugeruje, że w niektórych przypadkach baza ujawnia powiązania między adresami zameldowania i adresami rzeczywistego pobytu.

Fortum informuje klientów

Zwróciliśmy się z dodatkowymi pytaniami do Fortum i czekamy na odpowiedzi. Już po wysłaniu naszych pytań i po ujawnieniu wycieku przez Boba Diachenko na stronie firmy pojawiło się oświadczenie na czerwonym tle.

Treść oświadczenia:

W ubiegłym tygodniu doszło do naruszenia bezpieczeństwa danych osobowych klientów Fortum Marketing and Sales Polska S.A. Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O wycieku powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych. Jesteśmy gotowi do współpracy z władzami, aby w pełni wyjaśnić tę sprawę. Klientów prosimy o zwrócenie szczególnej uwagi na możliwe próby nieuprawnionego użycia danych. Przepraszamy naszych Klientów za wszelkie niedogodności. W przypadku pytań zapraszamy do kontaktu pod specjalnym numerem telefonu 690 678 130 lub adresem e- mail infopolska@fortum.com

Z tego oświadczenia nie wynika aby powiadomiono klientów bezpośrednio (choć z drugiej strony zrobiono to na stronie, co warto pochwalić). Dodano, że wyciekły numery dokumentów, co jest niezwykle ważne.

Diachenko przyznał w rozmowie z nami, że widział w bazie numery dowodów osobistych, ale nie w każdym rekordzie. Natomiast każdy rekord miał PESEL.

Co robić? Jak żyć?

Jeśli jesteś klientem Fortum powinieneś jak najszybciej unieważnić dowód. Możesz to zrobić przez obywatel.gov.pl.

Warto też wykonać jeszcze kilkanaście (!) innych kroków, które do najprostszych nie należą — zwłaszcza, że często ofiarom wycieków radzi się skorzystanie z usług, nazwijmy to “zbytnio nie pomoagających”, a płatnych. Temat jest niestety złożony.

Dlatego to co warto, a czego nie warto robić po wycieku naszych danych zebraliśmy w formie praktycznego, godzinnego webinara. Możecie wykupić do niego miesięczny dostęp pod tym adresem

 


Zobacz zapis godzinnego webinara, który poświęcony jest w całości tematyce wycieku danych Polaków. Dowiedz się jak się uchronić przed wyciekami oraz jak sprawdzać, czy coś na Twój temat już wyciekło. Z materiału dowiesz się też co robić krok-po-kroku jeśli Twoje dane wyciekły (zarówno z Twojej winy jak i winy jakiejś firmy, której byłeś klientem). Materiał adresuje także kwestię tego, kiedy mamy szansę na odszkodowanie oraz pokazuje przydatne darmowe narzędzia i usługi. Kliknij tutaj, aby wykupić dostęp do nagrania!

 

Aktualizacja 21.04.2020 13:01

Rzecznik prasowy Fortum Jacek Ławrecki przesłał do nas dodatkowo poniższe oświadczenie.

Wyciek nastąpił z serwera jednego z naszych dostawców. Na serwerze była przechowywana baza danych klientów Fortum Marketing and Sales. Natychmiast po uzyskaniu informacji o możliwości wycieku, zablokowaliśmy dostęp do danych. Pracujemy nad poprawieniem usługi a dostawca w pełni wyraża gotowość do współpracy z nami, żeby nie powtórzyła się taka sytuacja.

Problem dotyczy klientów Fortum Marketing and Sales, zarówno osób indywidualnych, jak i przedsiębiorstw, którzy mają umowy na sprzedaż energii elektrycznej lub gazu. Problem nie dotyczy klientów innych spółek grupy Fortum (np. mających umowy na dostawę ciepła), chyba że jednocześnie byli klientami Fortum Marketing and Sales.

Aktualizacja 20.05.2020 9:01

Wyciek zostanie zbadany przez Urząd Ochrony Danych Osobowych. Postępowanie administracyjne w sprawie możliwego naruszenia przepisów zostało wszczęte z urzędu.

W ramach uruchomionego teraz postępowania prezes UODO wezwał Fortum do przedstawienia szczegółowych informacji związanych z naruszeniem ochrony danych osobowych, w tym okoliczności naruszenia oraz kategorii danych osób, których dotyczy naruszenie. Urząd przypomniał, że wdrożenie odpowiednich środków nie może być działaniem jednorazowym, a powinny one być na bieżąco aktualizowane.

Niezależnie od wszczętego postępowania administracyjnego Prezes UODO skierował do Spółki wystąpienie o podjęcie działań mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Ze złożonego zgłoszenia naruszenia ochrony danych wynikało bowiem, że Spółka nie powiadomiła tych osób o naruszeniu.

Tak naprawdę Fortum informowała o naruszeniu. Wspominaliśmy w artykule, że firma zamieściła komunikat na swojej stronie. Ponadto Czytelnicy informowali nas, że ich bliscy otrzymywali pocztą pisma z powiadomieniem o wycieku


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

46 komentarzy

Dodaj komentarz
  1. Standardowo: po co takim firmom tyle danych. Jedyne, co jest potrzebne do dochodzenia roszczeń przed sądem to imię, nazwisko i numer pesel, ewentualnie ostatni adres zamieszkania, jeżeli ktoś chce od razu iść do sądu zamiast pozyskać dane o aktualnym z bazy.

    Tak samo alerty BIK i podobne usługi. Powinno się dać je aktywować bez podawania numeru dowodu. I tak weryfikują dane przelewem bankowym. Powinien wystarczyć sam PESEL.

    • Druga sprawa, Polska potrzebuje centralnego systemu credit freeze, najlepiej powiązanego z epuap i opt out. Problem przestępców zaciągających kredyty/biorących towar na raty, itd. jest już rozwiązany. Wystarczy to związanie zaimplementować.

      Przy okazji wypuszczenia takiego systemu można wprowadzić konieczność zaraportowania wszystkich nieprzedawnionych kredytów, żeby ludzie wiedzieli, czy ktoś wcześniej na nich nie wziął pożyczki.

      To chore, że taki problem nadal istnieje.

    • “To chore, że taki problem nadal istnieje.”
      @nonqu
      Najwyraźniej komuś jest na rękę, by taki burdel był. Nie chcę wyjść na jęczybułę, ale to doskonały “temat zastępczy” czy tam inny “decoy”.

    • pytanie jak zwykle brzmi, czy w takich systemach nie powinien być sam kod, a dane osobowe trzymane na komputerze odciętym od sieci CAŁKOWICIE lub w formie papierowej. Przecież gdy trzeba wysłać ponaglenie o zapłatę, można to zrobić korzystając z 2 baz – jednej online, wskazującej kod klienta i drugiej offline zawierającej dane. Wtedy wycieku by nie było, bo stany liczników przywiązane do jakiegoś numerka (inny niż Pesel) nic nikomu nie dadzą.

    • @anon

      Ale po co komplikować sobie życie w jakieś rozdzielania… I może jeszcze hashe haseł, zamiast plaintextem? Chcesz, żeby przez wymogi RODO poszli z torbami?
      :)

    • GDyby “Alerty BIK i inne usługi” były dostępne za pomocą samego numeru PESEL, to w efekcie złodziej mógłby bardzo łatwo otrzymać nieuprawniony dostęp do jeszcze większej ilości danych. Firma zapłaci krocie, bo pewnie nawet nie zgłosiła bazy Elastica do UODO. W końcu to miała być “tylko wyszukiwarka”.

    • Rzeczywiście… Adres pod którym jest świadczona usługa jest przecież zupełnie niepotrzebny. Kompletnie niepotrzebny jest też adres, pod który należy wysłać rachunki czy inna korespondencję. :-/

    • By potwierdzić tożsamość i otrzymać alerty/raporty i tak należy wykonać przelew potwierdzający tożsamość. Cóż więc więcej ma dać numer dowodu, gdy dokument był i tak zweryfikowany przez bank.

    • Adres punktu odbioru i korespondencyjne są potrzebne, adres zamieszkania już niekoniecznie, o ile nie wymaga tego prawo.

      Ciekawe natomiast, że nie odniosłeś się do numeru dowodu mimo, że to właśnie dana, która dużo więcej może napsuć w życiu klientów niż wyciek adresu.

  2. @nonqu to nie jest chore ale kolejny raz dowodzi, że stwierdzenie iż Polska to państwo z dykty i paździerzu jest jak najbardziej prawdziwe, Jak to się mówi takie rzeczy tylko w Polsce…

  3. Ten numer to chyba psu na bude… nie odpowiadaja

  4. Kklienci nie zostali powiadomieni, firma chowa glowe w piask. “kontaktujemy sie sukcesywnie, nie mozemy panu podac numrertu zgloszenia do Prezesa Urzedu Ochrony Danych Osobowych, chce pan zastrzec dowod, niech pan jedzie do gminy, (sic)

  5. Jestem klientem Fortum i nie był żadnego komunikatu przez email, telefon lub SMS, na ich stronę nie zaglądam (bo po co) więc mozna uznać, że klienci nie zostali powiadomieni

    • Ja dostslam sms wczoraj o 10:20

  6. No to mama będzie miała trochę kretów na głowie

  7. jesli takie cos wycieka to chyba zakłada się takiej firmie sprawe w sądzie? czasy kiedy za podobne wycieki kupowało się komuś lizaki chyba dawno minęły?

  8. I takie sytuacje pokazują absurd RODO, które zwykłego obywatela nie chroni w żaden sposób. Drogi kliencie „wyciekliśmy” wszystkie Twoje dane. Poinformowaliśmy UODO i… tyle. Ty zostałeś sam. Musisz teraz zastrzec dowód? Przypomnieć sobie każdą z instytucji, w której musisz poprawić dane . Tracić czas i nerwy? No trudno, a jak masz z tym jakiś problem to możesz iść do sądu.

    • Uświadom sobie, że RODO nie zostało stworzone aby kogoś chronić, tylko aby utrudnić życie małym przedsiębiorcom i początkującym startupom. Nawet system komentarzy internetowych wiąże się z przetwarzanie danych osobowych.

      Dane osobowe nie powinny być chronione prawem, wyjątkiem jest tajemnica hadlowa ale tu wynikłe szkody należy udowodnić przed sądem w procesie cywilnym.

      Cyfryzacja daje gigantyczne pole do nadużyć i RODO tego nie zmieni puki nie zlikwiduje się sądów kaptorowych. Hakerzy i przestępcy mają w nosie przepisy prawa. Kryzys finansowy sprzyja rozwojowi przestępczości, więc nie szukaj winnych wśród najmniej winnych.

      Nie można tworzyć zamordystycznego państwa,które nakłada gigantyczne kary za drobne przewinienie i firma może pójść z torbami. Problemem są sądy kapturowe, które wydają wyrok bez twojego udziału, komornicy z gigantycznymi uprawnieniami i instytuacje finansowe rodawajace kredyty na prawo i lewo bez zastanowienia. Kiedyś aby dostać kredyt potrzebna była nieruchomość i 2 żyrantów.

      Systemy informatyczne są dzurawe jak ser szwajcarski, trzyliterowe agencje umieszczają backdoory i swoich ludzi w odpowiednich miejscach, panuje zmowa milczenia co do zastąpienia najpopularniejszego systemu operacyjnego innym alternatywnym, a ludzie się nakręcają i chcą przywalać kary a nie widzą gdzie leży prawdziwy problem. Mamy ukrzyżować kogoś za to że korzysta z dziurawego oprogramowania. Jaką tu jest jego wina?

      Teraz aby zniszczyć konkurencyjna firmę wystarczy wynajać hakera który znajdzie jakiś backdoor i go wykorzysta.

  9. Jesli ktos sie orientuje, kiedy mowa o klientach: “Fortum Marketing and Sales”

    To chodzi o konta reklamodawcow czy konta zwyklych odbiorcow ciepla/pradu Fortum, ktorzy nie odhaczyli jakiejs zgody marketingowej (lub, jak w dawnych czasach, nie mieli nawet takiej opcji)?

    Bo moim zdaniem, wyciek wyciekiem ale jesli dotyczyl danych ktore technicznie “wyludzono” (umozliwiono kopiowanie do baz marketingowych) zeby wyciagnac jeszcze wiecej kasy na kliencie (a nie w celu realnie zwiazanym z ich tranzakcjami) to konsekwencje powinny byc szczegolnie dotkliwe…

  10. Chodzi o konta zwykłych odbiorów (być może również konta relamodawców – nie wiem) – moja kobieta ma podpisana umowe o dostarczanie gazu z Fortum Marketing and Sales.

  11. Unieważnienie dowodu i wyrobienie nowego to koszt i fatyga. Ten koszt plus nawiązkę za konieczność wykonywania dodatkowych czynności (za fatygę klientów) powinna ponieść firma. Nie pamiętam dokładnie, bo dawno nie wyrabiałem, ale kiedyś za dowód płaciło się 70 zł + powiedzmy 130 zł za fatygę daje nam 200 zł od głowy. czyli kara powinna w sumie wynosić 3 376 912 x 200 = 675 382 400 zł. No może trochę mniej jak niektóre nazwiska się powtarzały. W przypadku upadłości firmy należałoby sprzedać masę upadłościową i w pierwszej kolejności zaspokoić roszczenia klientów.
    Może to dałoby do myślenia innym

  12. No i mamy RODO, które:
    – nie ogranicza liczby zbieranych danych przez podmioty
    – nie powoduje konsekwencji w przypadku wycieku
    – ma liczne wyjątki (banki, telekomy nadal kserują dowody itp)
    – półlegalni telemarketarzy i boty mają na nie wyje…ne i nawet nie podają informacji o tym, kto zarządza danymi
    …. ale wspaniale uniemożliwiło podobną do koreańskiej reakcję na SARS-CoV-2.

    • Zwykle nie komentuję, ale takiej kumulacji nie mogę ominąć.
      Nie trzeba się znać na RODO, ale w takim przypadku warto wypowiadać się z odrobiną umiaru.

      – nie ogranicza liczby zbieranych danych przez podmioty

      ŻADNA REGULACJA NIE POWIE JAKA BRANŻA MA ZBIERAĆ KTÓRE DANE BO TO NIEREALNE,
      MASZ PRZETWARZAĆ DANE NIEZBĘDNE DO REALIZACJI USŁUGI/UMOWY
      NADMIAROWOŚĆ DANYCH W TYM (I W KAŻDYM INNYM) PRZYPADKU BĘDZIE MIAŁO WPŁYW NA WYSOKOŚĆ KARY URZĘDOWEJ, ZNAM FIRMY, KTÓRE PO WEJŚCIU RODO PRZEPROWADZIŁY SUMIENNĄ ANALIZĘ I ZAPRZESTAŁO PRZETWARZANIA CZĘŚCI DANYCH KLIENTÓW

      – nie powoduje konsekwencji w przypadku wycieku
      KARA FINANSOWA NIE JEST KONSEKWENCJĄ?

      – ma liczne wyjątki (banki, telekomy nadal kserują dowody itp)
      RODO NIE MA WYJĄTKÓW, KWESTIA KSEROWANIA DOWODÓW PRZEZ BANKI WYNIKA Z INNYCH REGULACJI PRAWNYCH, Z TEGO CO WIEM TA SPRAWA JEST ROZWOJOWA

      – półlegalni telemarketarzy i boty mają na nie wyje…ne i nawet nie podają informacji o tym, kto zarządza danymi
      RODO MIAŁO IM ODŁĄCZYĆ LINIE TELEFONICZNE? ZABRAĆ KARTY SIM?
      ŻYCIE TAK NIE DZIAŁA (FAJNIE BY BYŁO)

      …. ale wspaniale uniemożliwiło podobną do koreańskiej reakcję na SARS-CoV-2
      JA TEŻ BYM CHCIAŁ WIEDZIEĆ, ŻE MÓJ SĄSIAD JEST CHORY, ALE PEWNIE WNIOSKOWAŁBYM O WYJĄTEK W INFORMOWANIU O TYM, ŻE TO WŁAŚNIE JA JESTEM CHORY

  13. Wrzucam link do grupy dla osób poszkodowanych:

    https://www.facebook.com/groups/2968865406540738/

  14. Hej, czy w takiej sytuacji można wypowiedzieć umowę z Fortum bez regulaminowej kary? Byłoby bosko, gdyż sprzedawca Fortum naciągnął osobę z mojej rodziny na ich “promocję” i płaci teraz 2x więcej za prąd, a to nie jest majętna osoba.

  15. Jeśli chodzi o zgłaszanie na Policję, to osoba, o której wspominałem udała się na Policję, jednak informacja na stronie Fortum okazała się niewystarczająca. Policja prosiła o imienne potwierdzenie, że dane tej osoby wyciekły i mogą zostać bezprawnie wykorzystane.

    By unieważnić dowód przez internet (https://www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci–uniewaznij-dowod) konieczne jest potwierdzenie o zgłoszeniu kradzieży tożsamości (policja, prokuratura) lub również imienna decyzja Prezesa UODO stwierdzająca naruszenie danych osobowych.

    • @Eremef Właśnie dlatego należy zgładzać zaginięcie dowodu a nie zastrzegać dowód z powodu kradzieży tożsamości, którą trzeba jeszcze udowodnić i tracić czas na papierologię. Oczywiście ekipa Niebezpiecznika radzi aby być uczciwym i powiedzieć prawdę przed urzędnikiem, ale prawo swoje a życie swoje.

  16. W USA nie zajmują się takimi rzeczami, nie tracą czasu na takie utrudniacie, bo inaczej się tego nazwać nie da. RODO to kolejna gałąź dla prawników do zarabiania na dziurawym i niespójnym prawie. Zamiast zajmować się realnymi problemami np. credit freeze, opodatkowaniem darowizn (Tak restauratorzy zapłacą podatki za dostarczane darmowego jedzenia dla szpitali), fikcją doręczeń itd.

    Twoje RODO świetnie podsumował topowy marketer ze Stanów. Oczywiście trochę ograniczyliśmy zbieranie danych, jednak nasza technologia się rozwija i zaraz sobie poradzimy z tym problemem. Oczywiście wszystko będzie w regulaminie ;)

    Twoje dane i tak latają jak chcą. Są brokerzy danych wykupujesz dostęp i masz informacje popularne aplikacje np. jakdojade to z czego są finansowane ? Ze sprzedaży danych do około 20 firm brokerów danych.

    Nakładanie gigantycznych kar jest bezsensowne. Wielkie firmy z gigantycznym budżetem robią błędy i wyciekają dane np. Google ostatnio dał twoje zdjęcia innym użytkownikom.
    Jeżeli będzie gigantycznie karanie to rozwiązania się znajdą np. przepisy są tak absurdalne ,że zatrudnienie opiekunki w Niemeczech przez Polską firmę jest niemożliwe legalnie rozwiązanie znaleźli spółka z małym kapitałem – zamykamy jak jest problem. Tutaj tak samo będzie kapitał 5000 PLN spółki i problem z głowy. I RODO odpowiadasz do wysokości kapitału spółki. Jak to nie pomoże to już część firm ma wywalone bo są spółkami z Wielkiej Brytanii, powodzenia w sądzeniu się o SPAM czy RODO.

    Te dziurawe systemy ktoś dostarcza. Czemu ma płacić firma a nie dostawca systemu ? Czy może to wina informatyka ,który pisał kod ? A może wina testera oprogramowania ? Szczepionki i leki mają skutki uboczne ,a i tak je stosujemy. W IT nie da się stworzyć bezpiecznego systemu, to tak jak z lekami. Zwykle jest ok ale czasem coś wycieknie.

    Nowoczesny rozwój technologii powoduje ,że haker wystarczy ,że zgarnie listę klientów danej firmy oraz zamówienia. I problem już gotowy. Zwykle to jednak pracownik wyniesie te dane.

    Gdyby się dało zablokować możliwość pożyczki, zabezpieczyć pieniądze w banku większości ludzi by się nie martwiła wyciekami. Może jeszcze tylko serwisy randkowe ;)

    Jak ktoś ma coś tajnego to dane zabezpieczy SAM np. zaszyfruje . A dane firmy np. baza klientów to raczej jego interes by zabezpieczyć. W branży finansowej podczas zmian pracodawcy duże znaczenie ma czy masz “bazę” od poprzedniej firmy czy jesteś bez “bazy”

    Ciekawe jak bardzo środowisko zanieczyszczaliśmy tymi kartkami RODO.Troska o dane jest oczywista od zawsze dla tych co chcą. Telemarketer ma wywalone, rozłączy się i co dalej. Jak ścigać takiego agenta? Nie znam skutecznej metody. Na maile ustawiamy filtr niech poczta od razu kasuje i z głowy problem. Na telefon nie ma możliwości wypisania się. Teraz jednak raz na jakiś czas dostaniesz mail czy SMS. “Zgodnie z RODO, UODO itd. Uprzejmie informuje Baza poszła w świat, przepraszamy za problem. Wyciekły takie pana dane, proszę coś z tym zrobić … “

    • Sa przeproszeniem “solisz” jak potluczony…

      Po pierwsze: OCZYWISCIE ze kazdy marketingowiec powie ci ze RODO jest bez sensu. A jak kiedys powstanie lek na raka to lobby farmaceutyczne bedzie sie czepiac wszystkiego poczawszy od nazwy i ksztaltu pudelka, przez najmniej nawet uciazliwe skutki uboczne do (potencjalnie) faktycznych problemow (ignorujac skale problemu nieporownywalnie mniejsza niz alternatywy).

      Argument, ze w Stanach ograniczono zbieranie danych w niewielkim stopniu po wprowadzeniu RODO w europie – gdzie przeciez wiekszosc firm nie musiala ograniczac nic, bo to jest cos proporcjonalnego do tego jak bardzo sa w przetwazanie danych europejczykow zaangazowani.
      Natomiast to ze prawo nie ma sensu bo znajda sie ludzie ktorzy beda je omijac to juz nawet nie argument – to czysty deb*m i demagogia.
      Do tego szkody niepoparte faktami i wyssane z palca rozwiazania.

      Tyle pisaniny a tresci praktycznie brak…

      TL;DR,
      Twoja wypowiedz to typowe chaotyczne pie* niezbyt inteligentnego psychopaty / pseudo-darwinistycznego-kapitalisty, ktory chce przekonac czytajacych do wlasnych *bezsensownych* “racji” liczac na wlasna kozysc (ewentualnie post osoby ktora po prostu lubia macic ludziom w glowach glupotami).

  17. Moim zdaniem najlepszym zabezpieczeniem przed kradzieżą tożsamości nie jest karanie administratorów danych ani klientów, (konieczność wymiany dokumentu to pewnym sensie rodzaj kary), ponieważ każde dane kiedyś wyciekną. Najlepszym sposobem jest zatem karanie tych którzy posługują się ukradzionymi danymi. Są to np. wyłudzacze kredytu, ale też właściciele banku, bo odpowiadają oni za procedury nienależytej weryfikacji wyłudzacza.

    Jednocześnie każdemu kogo dane wyciekły i jest posądzany o kredyt należy ten kredyt udowodnić. Ale tu już rola sądów, które w tym kraju wiadomi jak działają. Samo stwiedzenie banku że dane z dowódu Kowalskiego sam wzięły pożyczkę jest śmieszne, ale dopóki sądy to klepią, to nic się nie zmieni.
    Minimum to pokazanie nagrania, że Kowalski osobiście był w banku. A jak nie to niech bank sam sobie spłaca. Gwarancja że po takim czymś bank więcej pieniędzy byle komu nie pożyczy. Utrudnienie? Na pewno. Faszyzm i antysemitzym? Także. Czas jednak skończyć z ochroną interesów banków kosztem reszty społeczeństwa.

    • Przecież banki prawie nigdy nie udzielają kredytów na skradzione dowody. Częściej słychać o innych instytucjach udzielających pożyczek lub o operatorach komórkowych, u których ktoś zamawia drogie telefony na raty na cudze dane. Na szczęście z tym ostatnim operatorzy walczą stosując blokady w przypadku opóźnienia w płatnościach.

      Rozwiązanie wszystkich tych problemów to credit freeze. Nie trzeba wymyślać koła na nowo.

  18. W dyskusjach jest mowa o wszystkim, z wyjątkiem tego, dlaczego już od wielu lat wyciek danych osobowych stał się tak groźny. Chyba zbyt łatwo świat przyzwyczaił się do robienia wszystkiego online, bo to takie wygodne i nowoczesne. Ale nagle kradzież dowodu osobistego, czy wyciek danych z jakiejś bazy, okazują się być groźne dla obywatela, bo ktoś może posłużyć się jego danymi, aby np. wziąć na jego konto kredyt w banku. Powinno być automatyczne domniemanie prawne, że skoro mnie przy tym braniu kredytu nie było, to winien jest bank, który bez mojego osobistego udziału dokonał czynności majątkowych na rzecz złodzieja, a na moją szkodę. A mój protest powinien być wystarczający do zablokowania wszelkich roszczeń banku wobec mnie. Inny przykład to, gdy ktoś podszywając się pode mnie, wyrobił sobie duplikat karty SIM, a wiadomo, czym to grozi. Dane osobowe powinny jedynie mnie opisywać, ale nigdy nie powinny służyć za identyfikator. To dotyczyć powinno wszelkich transakcji bankowych, czy telekomunikacyjnych. Jeżeli ja nazywam się Roch Kowalski, a złodziej na mnie, czyli Rocha Kowalskiego, zamówi przez Internet buty, nawet, gdyby musiał podać mój numer PESEL,to ostatecznie on musi zapłacić za te buty. A ja nie ponoszę żadnej szkody. Jeśli ktoś dzwoniący do mnie z (rzekomego, albo prawdziwego) banku pyta mnie o mój numer PESEL, to odmawiam. To samo, gdy ja dzwonię do banku z zapytaniem, a ktoś po drugiej stronie pyta mnie mnie najpierw o mój PESEL, to odmawiam podania. Kto zagwarantuje mi, że te linie są bezpieczne.
    Ba, gdyby jeszcze numer PESEL można było sobie zmieniać, jak hasło do komputera, ale nie można. Raz poszedł w Polskę, to już nigdy nie będzie poufny.
    Winne tego stanu rzeczy jest Państwo, które stworzyło takie prawo, że PESEL jest jako identyfikator, a nie jedynie pozycja w rejestrach i statystykach. I nie znamy dnia, ani godziny.

  19. Powiadomili smse po 6 dniach, dzis, 22.04 w godzinach wieczprnych.

  20. NIE
    problemem jest nadmierne zaufanie do państwa i kontrachentów. Każdy jęczybuła na tym forum zakłada że chcemy komuś zaufać, więc potrzebujemy jego danych- a to żeby podpisać z nim umowę i dać mu promocyjny telefon, albo dostarczać prąd czy gaz przez 3 miesiące bez otrzymania zapłaty. A recepta jest prosta – zrezygnować z umów i biurokracji.
    Działa to w obie strony, ale jakoś kupujący i sprzedający na olx-ie którzy nie mają żadnej ochrony, ani podawania peselów jakoś nie skarżą się na wycieki, czy dane wrażliwe.
    Może przez pierwsze 2 miesiące nowy klient powinien płacić za prąd co tydzień, albo zrobić prepaid?
    Wiem że zaraz sypnie się na mnie lawina czepiania się, ale co wolicie? Trochę nieufności, czy wyrabianie nowego dowodu co 3 miechy?

    • A ja ciągle pytam, dlaczego wyciek numeru PESEL ma być dla mnie groźny w zasadzie przez całe życie? Dowód osobisty można zmienić, bo jeśli go skradziono, to trzeba coś mieć, a PESEL nie. Ale dlaczego zatem stworzono system, w którym upublicznienie moich danych ma być groźne, gdy jakiś łajdak zechce podjąć próbę wzięcia na mnie kredytu? Może rozwiązać by należało ten pierwotny problem? A wtedy niech nawet wyciekają wszystkie PESEL-e (czy inne dane), bo jeśli z nimi nikt nic nie z robi, to i zagrożenia odejdą w niebyt. Pytanie zatem, czy chcemy być bezrefleksyjnie wygodni, czy bezpieczni?

    • @Maryan

      To dlatego, że PESEL ma byc daną identyfikacyjną a nie uwierzytelniającą i nie powinien w żaden sposób służyć do weryfikacji tożsamości, tylko że tak wyszło. Taki sam problem jest z SSN w USA.

      Rozwiązanie to centralny rejestr credit freeze. Wtedy nawet wycieki nie będą już tak bardzo niebezpieczne.

    • @nonqu
      Lepiej to opisałeś, niż ja pisząc: “PESEL ma byc daną identyfikacyjną a nie uwierzytelniającą i nie powinien w żaden sposób służyć do weryfikacji tożsamości, tylko że tak wyszło.”
      I tu jest cały problem, a “credit freeze” jest bardzo dobrym pomysłem, ale jest ratunkiem po fakcie, a nie profilaktyką. Pozdrawiam!

    • @Maryan “credit freeze” to bardzo dobry pomysł ale ma pewne wady. Co jeśli wyciek nie został ujawniony lub nie zostaniemy o nim poinformowani? Te bazy, które teraz są ujawniane pewnie wyciekły jakiś czas temu a hakerzy wykorzystując sytuację gospodarczą chcą spieniężyć srebra rodowe. A czy 80 letnia babcia skorzysta z “credit freeze” jeśli spłaca raty, albo nie wie o istnieniu “credit freeze”. Dobry pomysł to esemesy o dokonaniu zapytania kredytowego, wtedy można działać z wyprzedzeniem.

    • @Twój nick

      Dobrze zrobiony centralny rejestr credit freeze byłby op-out, więc domyślna blokada kredytu dla każdego z powiadomieniami przez profil zaufany, z logiem zapytań i z możliwością deaktywacji dla konkretnej tranzakcji, żeby nie trzeba było mieć albo całkiem aktywny albo zupełnie nieaktywny, chociaz nawet w tym drugim wypadku pomogłyby logi zapytań.

      Prywatne credit freeze to tylko niestety iluzja bezpieczeństwa, potrzebny jest państwowy rejestr skorzystanie z którego będzie warunkiem nadania klauzuli wykonalności wyrokowi lub nawet dopuszczenia powództwa.

  21. A ja nie dostalam,żadnego sms-a,gdybym nie zauwazyła w necie info o tym wycieku,to byłabym z reką w nocniku..A tak na marginesie,dane wyciekły 15 a oni dopiero od wczoraj o tym informuja???masakra

  22. Żenujący spektakl tzw. specjalistów IT – anonimizacja danych, właśnie legła w gruzach.

    Pytanie – dlaczego w bazach, w których są przetwarzane wrażliwe dane, NIE MA OBOWIĄZKU ZACIEMNIANIA TYCH DANYCH?

    Bad actor pobierze sobie taką bazę i co dalej? Dostanie tabeleczkę ze śmieciami.

    Proste rozwiązanie, a nikt tego nie stosuje.

  23. No właśnie czy mozna rozwiązać umowę? Dajcie znać

  24. […] nas, czy któryś z polskich prokuratorów kupował coś w Cyfrowe.pl lub prąd dostarcza mu firma Fortum. Może wtedy i w tych sprawach równie szybko namierzeni zostaną, odpowiednio: sprawca i […]

  25. […] ostatnich (tygo)dniach mieliśmy całkiem sporo wycieków danych. Cyfrowe, KSSIP, dostawca energii, a nawet ZUS. W przypadku Zippo, atakującym udało się pozyskać — poza danymi klientów […]

  26. Fortum powiadomiło mnie dopiero dzisiaj. Jeden skandal to że dane wyciekły. Drugi – moim zdaniem nie mniejszy – że poinformowali o tym dopiero po ponad miesiącu! I za to ktoś powinien zdrowo “beknąć”

  27. […] to, że od czasu do czasu cenna baza danych zostaje niechcący upubliczniona. Tak nastąpił np. wyciek z Fortum, wycieku z MoneyMan albo potężny wyciekiem danych użytkowników Facebooka. Tak bywa, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: