18:59
6/12/2020

Numery PESEL klientów i ich dzieci, dane teleadresowe, zdjęcia pojazdów, dane nieruchomości, nawet wyniki badań lekarskich – tego rodzaju dane były publicznie dostępne na serwerze firmy sprzedającej ubezpieczenia różnych znanych towarzystw ubezpieczeniowych. Charakter wycieku jest bardzo poważny, a reakcja firmy na nasze zgłoszenie tylko zwiększyła nasze zaniepokojenie…

Kilka lat umów do pobrania przez każdego

Pod koniec listopada Czytelnik zgłosił nam, że pod pewnym adresem w domenie ent-broker.pl da się znaleźć publicznie dostępne katalogi z mnóstwem różnego rodzaju dokumentów.

Zajrzeliśmy i to co zobaczyliśmy po prostu nas zmroziło. Wśród przechowywanych plików był m.in. plik z hasłami.

Poza tym na serwerze dało się znaleźć:

  • wyniki badań onkologicznych co najmniej jednej osoby(!!),
  • kopie umów i polis ubezpieczeniowych z danymi klientów (a w nich adresy, telefony, numery PESEL, informacje o ubezpieczonym mieniu lub innych osobach, w tym numery PESEL dzieci)
  • zdjęcia pojazdów robione do celów ubezpieczeniowych,
  • wiele, wiele innych informacji, zestawień, dokumentów (nawet dokumenty z audytu RODO oraz wewnętrzna polityka bezpieczeństwa).

Tylko w katalogu z polisami naliczyliśmy 555 podkatalogów (po jednym na klienta). W niektórych było po jednym dokumencie, w innych po kilka (np. polisy jednego klienta z kilku lat, oświadczenia, załączniki). Zakres danych ujawnionych w polisie jest – jak się domyślacie – dość szeroki.

Niektóre polisy wyraźnie wskazują na pośrednika jakim jest firma Ent Broker. To będzie miało znaczenie za chwilę.

Wyciek obejmował polisy z okresu od maja 2015 roku do listopada 2020 roku. Były wśród nich polisy zarówno instytucji jak i osób fizycznych. Dodatkowo wśród ujawnionych plików było mnóstwo innych dokumentów.

Nie traciliśmy czasu na dogłębną analizę, bo już sam katalog z polisami był przerażający. Uznaliśmy, że trzeba to szybko zgłosić, aby dokumenty zniknęły z internetu i przestały narażać klientów.

“Nie mamy takiej strony”

Baza CEiDG mówi, że działalność Ent Broker prowadzi pani Katarzyna Libura-Pisalska. Firma ma siedzibę przy ul. Gdańskiej 5 w Sosnowcu. Początkowo próbowaliśmy zgłosić wyciek telefonicznie, ale nikt nie odbierał telefonów gdy dzwoniliśmy na numery podawane np. na stronach z ofertami. Postanowiliśmy poszukać lepszych numerów.

Zgodnie z tym, czego uczymy na naszym kursie z OSINT-u w module dotyczącym rekonesansu technicznego, w przypadku badania powiązań między firmami i ludźmi, warto zajrzeć w rejestry WHOIS. W przypadku domeny Ent Broker okazuje się, że jej abonentem jest: CALIKO Sp. z o.o. (ul. Gdańska w Sosnowcu, na tym samym adresie co Ent Broker).

Stąd już łatwo można ustalić, że prezesem spółki Caliko jest …Katarzyna Libura-Pisalska. Skoro tak, postanowiliśmy zadzwonić ze zgłoszeniem wycieku Ent Brokera do Caliko.

Telefon odebrała kobieta. Powiedzieliśmy, że chcielibyśmy rozmawiać z panią prezes, która ma również działalność Ent Broker. Pani przy telefonie powiedziała “tak, słucham“. My powiedzieliśmy “więc rozumiemy, że rozmawiamy z Panią prezes“. Kobieta nie zaprzeczyła. Wyjaśniliśmy, że na stronie ent-broker.pl znalazło się mnóstwo niepokojących dokumentów. W tym momencie pani przy telefonie stwierdziła: “to chyba jakaś pomyłka” i gwałtownie rozłączyła się.

Zadzwoniliśmy jeszcze raz. Odebrała ta sama kobieta. Powiedzieliśmy jeszcze raz, że zauważyliśmy potężny wyciek danych i przede wszystkim chcielibyśmy doprowadzić do jego usunięcia. Kobieta przerwała mówiąc:

nie mamy takiej strony

po czym dodała,

jeśli chcecie stanowiska od spółki to proszę wysłać pismo”

Nie raz dzwoniliśmy do kogoś ze zgłoszeniem wycieków (raz nawet do Radia Maryja). Nigdy nie liczymy na wdzięczność, ani nawet miłą atmosferę rozmowy. Nauczeni doświadczeniem wiemy, że najpierw ludzie mówią “to niemożliwie”, a potem nerwowym głosem pytają o szczegóły albo podejrzliwie dopytują kim jesteśmy, a na końcu milczą. Długo milczą. I mówią, “sprawdzimy, zadzwonimy/napiszemy”. Prosimy wtedy o adres e-mail, na który możemy wysłać szczegóły. Szczegóły wysyłamy i zwykle po kilkunastu minutach odbieramy kolejny telefon od “ofiary”. Już w zupełnie innym tonie.

Ale przyznajemy – po raz pierwszy usłyszeliśmy “Pomyłka” dzwoniąc pod poprawny numer. “Nie ma takiej strony?” — doprawdy dziwne tłumaczenie. Albo Pani prezes była całkowicie nieświadoma swojej infrastruktury albo nie chciała z jakiegoś powodu o niej rozmawiać. Hipotez może być wiele. Może ktoś inny zrobił tę stronę i złośliwie wrzucił tam dokumenty powiązane z firmą Ent Broker? Pod uwagę braliśmy różne scenariusze. Ale mimo to, na wszelki wypadek, wysłaliśmy e-mail do firmy Caliko, który zawierał link do ujawnionych dokumentów, licząc na to, że ktoś tego maila przeczyta, zrozumie i w końcu potraktuje poważnie.

Dzwonimy do poszkodowanego na numer z polisy

Ponieważ w polisach były numery telefonów, postanowiliśmy zadzwonić do jednego z nabywców polisy i spytać, czy dane się zgadzają i czy osoba ta faktycznie była klientem Ent Brokera. Do takiej weryfikacji uciekamy się bardzo rzadko (ostatnio w przypadku wycieku z sexshop.com.pl, którego właściciele postanowili schować głowę w piasek).

Zadzwoniliśmy do pewnego mężczyzny. Spytaliśmy, czy rozmawiamy z Panem XY. Pan potwierdził. Powiedzieliśmy, że pewnie kupował polisę taką a taką, tu i tam. Pan stwierdził “to nie Pana interes“. Reakcja bardzo nam się spodobała, sami zareagowalibyśmy podobnie na takie wypytywanie przez telefon przez “obcego”. Wyjaśniliśmy więc, że jesteśmy na tropie wycieku i po prostu sprawdzamy, czy rzeczywiście może to być wyciek z firmy, którą o to podejrzewamy. Pan powiedział: “nie potwierdzam…” a po chwili dodał “ale też nie zaprzeczam”.

Dzwonimy do współpracowników Pani Prezes

Na tym etapie postanowiliśmy poszukać danych wszelkich współpracowników pani Katarzyny i popróbować rozmowy z nimi. Widzicie, jakiej determinacji czasem potrzeba, aby zgłosić wyciek… Kontakt z bliskimi osób odpowiedzialnych ma sens. W końcu nie każda z takich prawnie odpowiedzialnych osób musi w pełni rozumieć “te szalone komputery” i konsekwencje związane z tak poważnym incydentem bezpieczeństwa. Choć akurat osoba prezesa powinna…

Liczyliśmy, że być może znajomi wpłyną na postawę właścicielki. Biorąc pod uwagę skalę wycieku, byliśmy nawet gotowi wysłać nawet tradycyjny list, gdyby kontakt przez znajomych nie wyszedł (robiliśmy już takie rzeczy, bo Monedo nie akceptowało innej formy komunikacji).

Technikami, o których więcej mówimy na naszym kursie OSINT-u, znaleźliśmy prywatne numery telefonów współpracowniczek i współpracowników pani prezes. I gdy już mieliśmy wykonywać pierwszą rozmowę, przyszedł do nas e-mail. Z firmy Caliko:

Dzień dobry
Dzieje za zgłoszenie i w trybie pilnym przekazuję do działu IT.

A więc jednak ktoś zgłoszenie odebrał! W odpowiedzi przesłaliśmy firmie dodatkowe pytania.

1. Od jak dawna dokumenty były online?
2. Czy istnieje ryzyko, że dokumenty zostały pobrane w sposób masowy?
3. Czy wyciek będzie zgłoszony do UODO i czy ofiary wycieku zostaną o nim poinformowane stosowanie do przepisów RODO?

Krótko potem dokumenty zostały usunięte z serwera. Pierwszy sukces za nami. Następnie oderbaliśmy telefon od jednego z pracowników:

“To był szeregowy pracownik”

Pracownik zapewniał, że sprawa została potraktowana poważnie, a nasza wcześniejsza rozmowa telefoniczna była nieporozumieniem. Dowiedzieliśmy się, że przez telefon rozmawialiśmy nie z Panią prezes, a z “szeregowym pracownikiem“, który nie wiedział jak zareagować. Zapewniono nas, że w późniejszym czasie dostaniemy odpowiedzi na nasze pytania.

Dane klientów zostały usunięte z serwera, więc daliśmy firmie czas na spokojną obsługę incydentu. W jej trakcie zazwyczaj wiele się dzieje, więc cierpliwie czekaliśmy na kolejny kontakt. Dwa dni później otrzymaliśmy takiego e-maila:

W związku przesłaną nam informacją wskazujemy, że według naszej wiedzy podjęte zostały czynności sprawdzające oraz pozostałe działania przewidziane obowiązującymi regulacjami.

Na obecnym etapie nie jesteśmy upoważnieni do udzielania szczegółowych informacji.

No cóż, jak widzicie, informacji na temat natury incydentu brak. Nasze pytania pozostały bez odpowiedzi, ale mamy nadzieję, że osoby, których dane wyciekły, otrzymają od spółki dokładniejsze wyjaśnienia. Powinny.

Twoja firma przetwarza dane? Przygotuj współpracowników na ich wyciek

Obsługa incydentu to niełatwa sprawa. Większość firm nie robi tego dobrze — nie tylko na warstwie komunikacji z prasą czy z klientami, ale także na poziomie technicznego zabezpieczania śladów lub ustalania sprawcy.

O tym jak poprawnie reagować i skutecznie komunikować incydenty, aby klienci nie wpadali w panikę (jeśli nie muszą) ,a prezes nie osiwiał na myśl, że firma “przynaje się do wpadki” będziemy mówić 14 grudnia o godz. 20:00 podczas webinaru “Zhackowali cię, co teraz?!” (jeśli ten termin Ci nie pasuje, nie przejmuj się, spotkanie jest nagrywane i będziesz mieć dostęp do nagrania). Tu możesz dopisać się do listy uczestników.

W trakcie tego wykładu przekażemy wiedzę, którą powinien posiadać każdy kto prowadzi swój biznes w internecie, a także każdy członek zarządu, firmowi prawnicy, kluczowe osoby w zespołach IT i pracownicy działów PR. Zapraszamy do rejestracji! Użyjcie kodu POLISA aby obniżyć sobie cenę dostępu!

Nie ignoruj zgłoszeń!

Jeśli prowadzicie swój biznes, albo odpowiadacie za dane w czyimś biznesie, zapamiętajcie. Nigdy, przenigdy, pod żadnym pozorem nie ignoruj zgłoszenia wycieku. Najlepiej już teraz wyedukujcie współpracowników, aby nigdy nie ignorowali telefonów i maili, które dotyczą tego typu kwestii.

Lepiej wszcząć niesłuszny alarm, niż słuszny alarm przegapić. Zwłaszcza, że w przypadku naruszeń związanych z ochroną danych osobowych na Twoją niekorzyść działa czas. Masz 72 godziny i lepiej ich nie zmarnować. Nie mówiąc już o tym, że nie wszyscy zgłaszając Ci incydent będą tak cierpliwi i wytrwali jak my. Niektórych zła reakcja może skłonić do nagłośnienia wycieku, np. na serwisie społecznościowym, zanim zostanie on “posprzątany”.

Naprawdę, wszystkim prowadzącym biznes online proponujemy zapoznać się z dokładnym schematem dla firm, co robić krok-po-kroku po wykryciu włamania lub wycieku (ew. kradzieży) danych, nie tylko osobowych. Taki schemat otrzymują uczestnicy wspomnianego wyżej webinaru pt. “Zhackowali mnie, co teraz?!

Jestem klientem Ent Broker — co robić? Jak żyć?

Jeśli korzystałeś z usług firmy Ent Broker to bezpieczniej będzie założyć, że Twoje dane wyciekły. Przejrzyj dokumenty lub przypomnij sobie jakie dane przekazałeś tej firmie. Jeśli były wśród nich numery dokumentów, wskazane będzie unieważnienie (w urzędzie) oraz zastrzeżenie (w banku) dokumentów. Uwaga: to są dwie różne czynności, o których możesz dowiedzieć się więcej m.in. z tekstu pt. Wyciekły moje dane, co robić?).

Dane Polaków codziennie są wykradane i coraz częściej skutkuje to przejęciem ich cyfrowej tożsamości. Dowiedz się:
co zrobić, kiedy dojdzie do wycieku naszych danych osobowych
– jak najskuteczniej zabezpieczyć się przed niechcianą pożyczką
Obejrzyj nasz godzinny wykład, który wyjaśnia krok po kroku z jakich darmowych i płatnych usług warto, a z jakich nie warto korzystać, aby chronić swoje “cyfrowe ja”. Podaj kod “BROKER” aby uzyskać dostęp do nagrania wykładu w cenie aż o 56 PLN niższej. Kod zniżkowy działa tylko do końca dnia.

Poza tym pamietaj sam i ostrzeż najbliższych, że nie należy ufać nikomu kto dzwoni z dziwnymi prośbami i cytuje im ich dane. Tu jeszcze raz gratulujemy Panu, który powiedział naszemu redaktorowi “nie Pana interes”. Tak należy robić :)

Koniec końców firma Ent Broker zareagowała na zgłoszenie i usunęła dane z serwera. Nie wiemy jednak jak długo one się tam znajdowały i dane ilu klientów znalazły się w wycieku. Czekamy na informacje od poszkodowanych klientów Ent Brokera, czy dostaną powiadomienie o wycieku. Zgodnie z ustawą, nie zawsze trzeba to robić, ale akurat w tym przypadku, patrząc na skalę i zakres danych, naszym zdaniem Ent Broker powinien powiadomić swoich klientów o incydencie. I to jak najszybciej.


Aktualizacja 6.12.2020, 22:49
Po publikacji tego artykułu zgłosiła się do nas osoba, która już 21 listopada, a więc kilka dni przed nami, informowała Ent Brokera o tym, że upublicznia dane swoich klientów. Jak twierdzi nasz rozmówca, pomimo wysłania e-maili na 5 adresów nie otrzymał on żadnej odpowiedzi. Rozmówca spróbował także zadzwonić i w rozmowie zapewniono go, że “firma przyjrzy się sprawie”. Resztę historii znacie.

Aktualizacja 7.12.2020, 14:04
Na prośbę jednego z towarzystw ubezpieczeniowych zamazaliśmy logotypy wszystkich towarzystw ubezpieczeniowych, które pojawiały się na screenshotach, bo — co zaznaczyliśmy na początku artykułu — problem nie dotyczy towarzystw, a pośrednika (brokera, który jest pełnomocnikiem ubezpieczającego). Dokumenty do ilustracji wybraliśmy losowo i poza polisami tych dwóch losowo wybranych towarzystw, wyciek obejmował także inne towarzystwa. Zamazanie na logotypów 2 towarzystw, wylosowanych spośród wielu innych, jest w naszej ocenie “sprawiedliwsze”.


Aktualizacja 7.12.2020, 16:05
Na stronie internetowej Ent Brokera dziś rano najpierw, jak informują nasi czytelnicy, pojawiła się sporych rozmiarów paczka entbroker.zip (nie wiemy, co się w niej znajdowało, nasi redaktorzy pliku nie pobrali):

A teraz firma opublikowała następujące oświadczenie (wytłuszczenia nasze):

Szanowni Państwo, realizując obowiązek wynikający z art. 34 RODO, przekazujemy informację o naruszeniu ochrony Państwa danych osobowych. Informujemy, że: w dniu 02.12.2020r. o godzinie 12:30 doszło do zdarzenia polegającego na zainfekowaniu plików na komputerach Administratora (Katarzyny Libury-Pisalskiej ENT BROKER). W wyniku zainfekowania wirusem komputerowym, którego działanie polega na wykradaniu loginów i haseł do systemu mogło dojść do ujawnienia Państwa danych osobowych nieznanej licznie osób. Naruszenie to mogło dotyczyć Państwa danych osobowych w zakresie imienia i nazwiska, daty urodzenia, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, adresu email, numeru telefonu. Nie zidentyfikowano sprawcy naruszenia, ani osób, które mogą być w posiadaniu Państwa danych.
punktem kontaktowym, z którem mogą się Państwo kontaktować w związku z opisanym naruszeniem ochrony danych i od którego można uzyskać więcej informacji lub w razie jakichkolwiek pytań jest Pani Katarzyna Libura- Pisalska adres e-mail: biuro@ent-broker.pl
Możliwe konsekwencje naruszenia: Państwa dane osobowe mogą zostać wykorzystane do np. kradzieży Pani/Pana tożsamości lub wyłudzenia na Pani/Pana nazwisko środków pieniężnych, gdyż naruszenie dotyczyło takich danych jak imię i nazwisko, adres czy numer PESEL.W związku z tym, Pani/Pana dane mogą zostać wykorzystane do próby wyłudzenia środków polegających np. na informowaniu o konieczności dopłaty za zrobione w Internecie zakupy lub posłużeniu się Pani/Pana danymi w celu zawarcia na Pani/Pana nazwisko umowy pożyczki lub innej umowy, na podstawie której zostaną Państwo zobowiązani do spłaty długu, którego Państwo nie zaciągnęli lub też wprowadzania Państwa w błąd co do konieczności zapłaty za transakcje, których Państwo nie dokonywali.
4.Podjęte działania: Natychmiast po stwierdzeniu zainfekowania komputerów odłączyliśmy urządzenia od dostępu do Internetu i dokonaliśmy zmian haseł dostępowych, wykonaliśmy skanowanie wszystkich urządzeń, aby sprawdzić czy wirusy nadal są obecne. Ustaliliśmy również sposób przedostania się wirusów do naszego systemu. Podjęliśmy także inne niezbędne działania informatyczne, aby zablokować dalsze udostępnianie danych osobom nieupoważnionym.
Informujemy, również że naruszenie zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
Proponowane środki i działania: w celu zminimalizowania ewentualnych negatywnych dla Państwa skutków naruszenia zalecamy, aby Pani/Pan:
monitorował/a w systemach informacji kredytowej lub gospodarczej czy podjęto próby wyłudzenia środków pieniężnych na Pani/Pana nazwisko,
sprawdził Pani/Pana dotychczasową historię kredytową,
zachował/a wzmożoną czujność podczas reagowania na telefony lub wiadomości sms od nieznanych nadawców, szczególnie, jeżeli związane jest to z koniecznością podania swoich danych osobowych lub zalogowania się do konta bankowego,
zachował/a wzmożoną czujność w sytuacji odbierania połączeń telefonicznych od nieznanych odbiorców lub otrzymania niezamówionych przesyłek drogą elektroniczną (np. przez e-mail) lub pocztową.

Zastanawia nas data podana w oświadczeniu, gdyż dane przytaczane w naszym artykule na stronie firmy znajdowały się od co najmniej 21 listopada 2020 i firma była informowana o ich upublicznieniu przed dniem 2 grudnia 2020.

Przeczytaj także:

89 komentarzy

Dodaj komentarz
  1. Wydaje mi sie, ze w takich sytuacjach niebezpiecznik popelnia blad zakladajac ze mamy doczynienia z wyciekiem a nie z przestepstwem celowego ujawnienia.

    Gdy auto wjedzie w ludzi idacych chodnikiem, policja zadaje kierowcy pytania co do okolicznosci wypadku. Moze zawiodly hamulce? Moze atak serca? Moze pirat drogowy zepchnal je z drogi? Moze wpadlo w poslizg, etc. etc.
    W takiej sytuacji “w czym problem? zycie innych ludzi go* dla mnie znaczy” ciezko uznac za moralnie lepsza nawet od pol-dzikiego goscia ktoremu wmowiono ze dostanie za to +/- dwa autobusy magicznych ku*… (i zeby niebylo ostatnia czesc atakuje zabijanie przypadkowych (zazwyczaj z tych niewinniejszych) ludzi jako akt meczenstwa, stosownie dostosowywujac kontekst reszty wypowiedzi, poniewaz godna nagroda wymaga godnego dzialania, takze w opisie)

    • Bo firmy mają raczej mało do zyskania na celowym masowym ujawnieniu danych losowym ludziom publicznie. Dlatego pierwszym założeniem jest wyciek.

    • Brak wydatku juz jest zyskiem, niemowiac o tajemniczych powodzach dla ktorych ktos aktywnie przeciwdziala (swietny pomysl swoja droga) zablokowywania u siebie “wycieku” (przeplywu?) danych…

  2. Ten szeregowy pracownik zwany prezes, nie potrafi nawet sie wyslowic, a jego reakcja jest godna pozalozwania. Tacy ludzie piastuja stanowiska w Polsce.

    • Jakie stanowiska? Jakie piastowanie?
      Każdy może założyć działalności i się “piastować” na dane “stanowisko”. Sam.

    • Gdzie, jak gdzie, ale na niebezpieczniku nie spodziewałem się takiego niskiego poziomu w komentarzach ;)

    • prezesem sp zoo może zostać dokładnie każdy, chłop od gnoju, cwaniaczek, jak stryjenka uważa; przeważnie buraczane cwaniaczki, bo sp zoo odpowiada materialnie do wysokości wkładu własnego, więc właściciel-cwaniaczek jest w radzie a słup zostaje prezesem, spółki zoo z dobra historia mozesz kupić już za 1500pln/szt

    • Dokładnie. Na stanowisko można się samemu powołać :) Baaa, znałem nawet człowieka który założył indywidualną działalność gospodarczą, a na pieczątce sobie napisał “Prezes Zarządu” Kontrahenci umierali ze śmiechu a gość dalej się pogrążał i zastanawiał sie czemu nikt normalny nie chce z nim współpracować…. :)

  3. Nie lepiej zwyczajnie zgłosić do UODO? Powinni prowadzić takie sprawy z urzędu i p. prezes wtedy grozi bodaj 1-3lat z kodeksu karnego?

    • Skoro lata zajmuje im rozpatrzenie spraw nie z urzędu (tj. na wniosek pokrzywdzonego), to kiedy niby mieliby zająć się czymś z urzędu?

  4. Tak sie dzieje w firmach w ktorych IT to pan Zdzisiu co wpada raz na tydzien skasowac maile z Outlooka bo sie miejsce skonczylo albo zmienic toner w drukarce, a strone robil syn kolegi brata prezesa. Zaplaca kare i myslicie, ze sie cos zmieni w tej firmie?

    • Jeśli kara pójdzie w miliony, to już się o tyle wiele zmieni, że być może firma przestanie istnieć, a zarząd być może będzie spłacać karę jeszcze latami.

  5. Może dożyję kiedyś czasów w których będzie można zwolnić dyscyplinarnie Admina za brak Option -indexes w konfigu a nie tylko karmić ich owocowymi czwartkami…
    Firmy wydają fortuny na “ałdyty bespieczeńsfa” których produktami są powerpointy, a nie znajdują pieniędzy na kogoś kto potrafi przeczytać ze zrozumieniem jeden tutorial z konfiguracji serwera. Dramat!

    • A Ty serio sądzisz, że w takiej firemce jest poważny informatyk, który ma owocowe czwartki? Albo audyt bezpieczeństwa? Najtańsze zlecenie, byle jakoś wyglądało i jedziemy zbierać kasę z klientów.

    • Zacznijmy od tego, że tego typu dokumenty nie powinny być w katalogu www. Może i index nie będzie wyświetlany, ale wystarczy bug na stronie, który pozwala na listowanie zawartości i wyjdzie na to samo.

    • @Itachi
      Tak, lepiej trzymać dokumenty poza www. Ale wystarczy dodać jedna linijkę w directory: Require all denied i też będzie bezpiecznie. Nawet w www.

    • Takie pseudofirmy, zlecają zrobienie strony, serwisu czy portalu wartego min. 5 cyfrową kwotę na Ofermii. OLX czy Useme za przysłowiowe “pięć stów” i tyle. Efekty są po miesiącach albo latach właśnie takie.

      Jak mają szczęście, to już na początku wyjdzie szydło z kim mają do czynienia, a potem są ogłoszenia, że ktoś zaczął i nie skończył i kontakt się urwał. A teraz szukają kogoś rzetelnego z doświadczeniem. Takie są realia! Dlaczego trzeba dostać niezłego kopa w d…, aby dotarło do tej “baśki”?

      Ci ludzie nie mają pojęcia o robieniu serwisów bezpiecznych i użytecznych i nie wiedzą, że to musi kosztować. Z resztą jak w każdej branży produkcyjnej, oszustwa i oszczędności są pozorne i mają krótkie nogi. Wcześniej czy później to wyjdzie na jaw. Ot, nasz polska rzeczywistość!!!

  6. @Czapa

    “Owocowe czwartki”? Ty chyba nie za bardzo wiesz, jak jest umocowany administrator w 99% firm poza korpo… Na ogół w sumie nie ma kogo zwalniać…

    * Kolega syna szefowej. Zrobił system za darmo, ale mógł oddać go na zaliczenie.

    * “Złota rączka”, której lista obowiązków jest tak długa, że “Administrator” jest w tomie XVI na stronie 940.

    * System zrobiony z zamówienie celowe bez zakupu wsparcia. Administracja ogranicza się do tego, że szefowa ma zlecenie stałe na hosting i domenę. Firma robiąca stronę od 7 lat nie istnieje. Jak trzeba coś zrobić, patrz #1.

    * Firma kumpla ze studiów. Ze względu na ewentualne koszty dzwoni się do niej tylko wtedy, gdy pożaru schowka na miotły gdzie stoi serwer podpięty do DSL-a nie gasi 4-ta gaśnica.

    Coś pominąłem?

    • chyba zapomniałeś o rutynie ;)

    • Zapomniałeś o:
      – zatrudnianiu na czarno
      – serwerach na win XP
      – laptopach alienware jako serwer
      – monitorach gamingowych opisanych jako sprzęt do serwerowni.

    • Niekompetentni wykonawcy nie usprawiedliwiaja podejscia szefostwa (ktore okreslilbym tutaj mianem obelzywego).

      Tak wlasnie funkcjonuje moralna degeneracja. Jeden tworzy i podtrzymuje prawo ktore pozwala na bezproblemowe okradanie ludzi, drugi czerpie kozysci z gubienia danych – a potem pojawia sie positive_feedback_loop: im wiecej danych wycieka i jest skutecznie wykozystywanych w kradziezach, tym bardziej obie strony sa motywowane przes kolegow-kolegi (nazywajac to “sprytem” ew. “sukcesem”)

    • Przedewszystkim pominąłeś “rodo to martwe przepisy i nie będziemy się tym przejmowac”
      No i drugie. Ile to będzie kosztować? Pomyślimy….. i myślą aż coś ich nie walnie

    • @Pyth0n

      tak tak tak tak i <3 za punkt 5 :D

      Samo życie!

      Czy coś pominąłeś – przychodzi mi na myśl np pani agent ubezpieczeniowy, która mnie ze 3 lata temu zapytała, za ile przeinstalowałbym na jej firmowym lapku Windows 7 z pirackiej kopii.

  7. Oj, chyba to towarzystwo ubezpieczeniowe przestanie istnieć jak dostaną karę.

    • Tylko że to nie jest Towarzystwo Ubezpieczeniowe, ale broker – czyli samodzielny, certyfikowany przez KNF, specjalista d/s ubezpieczeń, który reprezentuje swoich klientów przez Towarzystwami.

  8. Dlatego wszędzie gdzie tylko mogę, jeśli już muszę, robię samodzielnie i/lub bezpośrednio. Tak sobie wyobrażam brokerów, pośredników, doradców… W dupie standardy, dobre praktyki.
    Nie twierdzę, że duże firmy są idealne, ale na pewno pozbywam się jednego z ogniw po drodze.

    • Bo jesteś mikro przedsiębiorcą i ubezpieczasz OC firmy, majątek, pare samochodów i tyle. Pewnie nie widzisz większej różnicy pomiędzy agentem a brokerem albo co gorsza – porównywarką ubezpieczeń online. Jakbyś był poważnym przedsiębiorcą z branż znaczących to byś współpracował z brokerem, bo nie miałbyś wiedzy na temat poważnych ryzyk występujących przy takich działalnościach. Jedna z najpoważniejszych rzeczy to kwantyfikacja potrzeb, ryzyka i uświadomienie sobie – że będąc dużym podmiotem masz sie znać na swojej działalności na poziomie eksperckim. Branie na siebie ryzyka zawarcia ochrony o charakterze specjalistycznym nie leży w interesie Spółki. Współpraca z dobrym brokerem jest jednym z tych czynników które (jako jeden z bardzo wielu oczywiście) odróżniają poważnych przedsiębiorców od przedsiębiorców z syndromem kapitanozy lub mikro działalności.

    • Tiaaaa. Ci brokerzy wiedzą o ubezpieczeniach tyle ile muszą. Czyli na którym lepiej zarobią. Cała reszta ich nie obchodzi tylko czasem dobrze grają

    • Masz rację, że jest różnica między brokerem, agentem i porównywarką. Natomiast ta firma była co najwyżej porównywarką i faktycznie od takich trzeba się trzymać z dala. Jaką ocenę ryzyka może wykonać kilka przeplatających i wymigujących się od jakiejkolwiek odpowiedzialności firm, które mają gdzieś podstawowe ryzyko swojej działalności i podstawowe zobowiązanie swojej działalności? Jedną z najcenniejszych rzwczy, jakie taki “broker” oferuje to tajemnica dotycząca zawartych umów. Bo po to sugeruje potencjalne ryzyko klientowi, żeby klient nie musiał zatrudniać specjalistów od tego u siebie. Ale rozgłaszanie “oto słabe punkty naszych klientów” i brak jakiejkolwiek reakcji naraża na potężną odpowiedzialność cywilną wobec tych klientów i – co może być bardziej dotkliwe – samych ubezpieczycieli. Jeśli tak było, nie chciałbym być w skórze tej pani.

    • @Jakub

      Zgadzam się w 100%

  9. Spokojnie, Pani broker jako specjalista w zakresie ubezpieczeń ma zapewne polisę ryzyk cybernetycznych, z których pokryte jest ryzyko zawiadomienia poszkodowanych o możliwości wycieku danych. Jeśli nie ma – cofnięcie licencji. Niestety brokerzy, którzy zajmują się głównie ubezpieczeniami osobowymi lub pojazdów to z reguły słabi specjaliści z brakiem podstawowej wiedzy w zakresie poważniejszych ryzyk. Pani ma w PKD 6621Z DZIAŁALNOŚĆ ZWIĄZANA Z OCENĄ RYZYKA I SZACOWANIEM PONIESIONYCH STRAT – no to sobie oceni :)

  10. Redakcja bardzo dba o dobro danych osobowych, zaczernia formularze itp. To bardzo chwalebne. Ale nie za bardzo dba o dobro firm, w których doszło do wycieku. Załóżmy, że taka firma była ofiarą ataku hakerskiego lub głupoty pracownika. W efekcie ujawnienia tego faktu nie dzieje się nic pozytywnego. Piętnowanie nie czyni dobra. Wręcz przeciwnie. Można się spodziewać nalotu wydziału Gestapo d/s danych osobowych. Zwykle skonczy się to zgnojeniem spółki, poważnymi karami finansowymi. Tak jak pisze – te kary czasem będą bez winy zarządu spółki. Pojawia się zatem pytanie, czy te ukaranie spółki ujawnieniem jej danych i spowodowanie kontroli prowadzi do proporcjonalnego ukarania. Według mnie nie. Według mnie jest lincz, napuszczanie konsumentów i urzędów na “kułaka”.

    • Jeśli ktoś decyduje się świadczyć usługi, powinien wziąć za nie odpowiedzialność. Gdby niebezpiecznik lub szerzej, media i organy ścigania, przymykały oko na takie praktyki jakich dopuszczała się opisana w artykule firma, to wszyscy na tym tracimy. Tracą też inne firmy, które poważniej, tak jak należy, podchodzą do ochrony danych swoich klientów.
      Takie spóki trzeba karać albo wręcz zamykać, jeśli ich zarządy nie dorosły do prowadzenia biznesu opierającego się na danych.
      Z opisanej w artykule sytuacji wynika, że firma miała wiele czasu, aby zareagować. Zignorowała zgłoszenie od prywatnej osoby. Zignorowała zgłoszenie od dziennikarza. Szacunek dla panów z niebezpiecznika za wytrwałość i podjęcie sprawy. Ciekawe ile jeszcze pośredników podchodzi tak lekkodusznie do kwestii bezpieczeństwa i prywatności swoich klientów. Mam nadzieję, że ten przypadek rozejdzie się po branży i podobne do ent brokera firmy wprowadzą zmiany.

    • Zakres odpowiedzialności zarządów firm i spółek jest jasno określony i kto się podejmuje takiej funkcji musi sobie z tego zdawać sprawę. Natomiast niektórzy prezesi postępują tak, jakby ta odpowiedzialność ich nie dotyczyła – i często z jakichś niezrozumiałych powodów okazuje się, że faktycznie ich nie dotyka.

    • @Trader
      Przecież lepiej wyszło, niż jakby trafił tam przypadkowy Rusek albo Chińczyk. Lepiej żeby firma istniała nadal, a ludzie dziwiliby się skąd komornik pukający do drzwi albo zero na koncie?
      Z resztą… firma upadnie, otrzepie się i powstanie na nowo. Jeśli była spółką, to zabulą tylko do wysokości kapitału. Stąd tyle spółeczek z minimalnym 5000zł.

    • To nie jest żaden lincz. Użytkownicy mają prawo wiedzieć skąd i kiedy wyciekły ich dane, bo konsekwencje mogą być poważne – na przykład komornik i spłata kredytów, których się nie wzięło. Na przykładzie opisywanej firmy widać, że całkowicie zignorowali zabezpieczenia, popełnili prawie wszystkie błędy jakie się dało, a oświadczenie informujące o wycieku trafiło do klientów wiele dni po pierwszym zgłoszeniu wycieku. Gdyby nie artykuł na niebezpieczniku, pokrzywdzeni nadal mogliby nie wiedzieć, a sprawę zamiecionoby pod dywan.

      Ataki hackerskie i nieuważni pracownicy się zdarzają, ale rolą zarządu jest zapewnić, że takie ryzyko jest zminimalizowane – np. zakupić szkolenia, zamówić dobry audyt bezpieczeństwa, zatrudnić bezpiecznika. Jeśli ktoś tego nie robi i w ten sposób zupełnie nie dba o dobro swoich klientów, to dlaczego miałoby to nie być nagłaśniane? Niebezpiecznik odwala kawał dobrej roboty opisując takie patologie, oby tak dalej.

    • @Trader

      Jak ktoś nie chce zabezpieczać danych wrażliwych, nie czuje odpowiedzialności za tajemnice klientów – niestety nie powinien pracować jako agent ubezpieczeniowy, radca prawny, itp, itd. Bo robi krzywdę ludziom, którzy powierzyli mu swoje słabości.

      Można nie umieć. Nie każdy jest dobry “w komputery”. Ale z odpowiedzialności wtedy trzeba wynająć kogoś, kto umie, zapłacić i nie kwestionować wszystkiego, co ten zaleci zrobić.

  11. W czym problem? Przecież większość nie ma nic do ukrycia.

    • @TomeVB

      W punkt

  12. Witam,

    Po przeczytaniu całego tekstu stanowczo stwierdzam, że robicie bardzo dobrą robotę!!

    Pozdrawiam.

  13. […] Potężny wyciek polis ubezpieczeniowych zawartych z różnymi towarzystwami […]

  14. Dzisiaj na stronie http://www.ent-broker.pl/
    index of /
    a w nim plik entbroker.zip, size: 946668k

    Sam nie wiem co się w nich jeszcze mieści… (Julian Tuwim)

    • Wczoraj nic tam nie było. Wszedłem po twoim komentarzu i rzeczywiście ;] po F5 zniknęło , ale conajmniej do 9.45 był online. ciekawe od kiedy. dość duży , może niewiele osób dało radę pobrać całość zanim zdjęli.
      ależ burdel tam mają. drugi raz zrobić wyciek. xD

    • Teraz wisi tam w-admin.zip :)))

    • Jak ja wchodziłem, to był inny plik:
      name: test.caliko.kylos.pl.wpress
      Last modified: 07-Dec-2020 08:49
      size: 757180k

      Czyli przy okazji macie adres, pod który została wrzucona stara strona: test.caliko.kylos.pl

    • naprawdę do takiej informacji na kilka linii kodu trzeba instalować WordPress’a ze wszystkimi jego śmieciami http://caliko.kylos.pl/ent/wp-content/uploads/ w dodatku bez ssl z domyślną konfiguracją https://ent-broker.pl/wp-login.php

  15. Wchodząc na stronę ent-broker.pl cały czas dostępny jest plik zip. do ściągnięcia. pod 900 mb.

  16. Witam
    Po przeczytaniu całego tekstu włosy dęba stają za brak reakcji na ten wyciek. Dziś rano (ok. 8.00) wszystko było dostępna w formie jednego archiwum. Obecnie już nic nie ma

  17. Może byście stworzyli taki serwis jak Have I been Pwned gdzie można sprawdzać czy twoje dane były obecne w jakimś wycieku? :-)

    • Załóż że były. Są. I będą. I po prostu minimalizuj ilość podawanych informacji na swój temat, a zwłaszcza takich, których nie chciałbyś zobaczyć publicznie + zabezpiecz swoje obecne konta tak, jak to jest pokazane tutaj: https://niebezpiecznik.pl/ochrona

  18. pisałem do nich w tej sprawie 25.1.2020 r. – bez odzewu. Jestem z ich branży i naprawdę chciałem im pomóc, ale mnie zlali….

    • 25.11.2020 :)

    • To niemożliwe!
      Wrzucili na stronę oświadczenie ze sporo późniejszą datą:
      “w dniu 02.12.2020r. o godzinie 12:30 doszło do zdarzenia polegającego na zainfekowaniu plików na komputerach Administratora (Katarzyny Libury-Pisalskiej ENT BROKER). W wyniku zainfekowania wirusem komputerowym, którego działanie polega na wykradaniu loginów i haseł (…)”

      Wierzyć czy nie wierzyć w tego wirusa?

    • Pięknie kłamią.
      Dowodem na to jest cache Google które wskazuje datę np. 17 Listopada 2020.

    • Od kiedy jakokolwiek wirus podczas infekcji wystawia dane na stronę www? z RODO powinno dostać parę baniek i zakaz dożywotni działalności finansowo pośrdniczych
      tuman trzymał na lokalnym nasie dane i wystawił je do netu – działanie barana nie mającego pojęcia o IT oprócz grania w gierki – nie było żadnego wirusa

    • @marian

      Dokładnie to. Wirus nie. Ale niekompetentny lub wk*** pracownik może to zrobić. Oraz niekompetentny prezes. Tak tylko mówię.

      Prezesi, płaćcie swoim adminom! Nie każdy z nich ma syndrom sztokholmski, nawet w małym miasteczku ;)

  19. Jedna sprawa to wpadka. Zdarza się każdemu, niekt nie jest nieomylny. Ale często to po prostu zwykłe lenistwo. Klienci często mają bardzo niechlujny sposób przechowywania danych który nabudowywał się latami. Nawet po uświadomieniu że tak nie powinno być przyznają że zdają sobie z tego sprawę ale zmiana byłaby zbyt pracochłonna i jej nie dokonują.

    • @Bartek

      Przede wszystkim nonszalanckie i lekceważące podejście. Do lenistwa to nawet nie dochodzi, bo nie ma decyzji że się nie robi. Nie robi się, bo po co. I potem cv-ki z pełnymi danymi, ksera dowodów, oferty z danymi klientów lub pracowników itp walające się w postaci wydruków po biurkach w całej firmie.

  20. > Zwłaszcza, że w przypadku naruszeń związanych z ochroną danych osobowych na Twoją niekorzyść działa czas. Masz 72 godziny i lepiej ich nie zmarnować.

    Od którego momentu te 72 są liczone?
    Na co mam te 72h?
    Co się dzieje po 72h ?

  21. Sam kiedyś byłem świadkiem rozmowy przy okazji skanowania mojego dowodu osobistego przez właściciela małej firmy ubezpieczeniowej, który na moją konsternację i zapytanie, co on robi skoro osobiście przyszedłem w sprawie i okazałem fizyczny dowód do wglądu, wyjaśniając jemu przy tym, że nie w takiej sytuacji dokumentu nie ma potrzeby skanować. Usłyszałem w odpowiedzi, abym się tak nie bał. Później usłyszałem półżartem, że gdyby on chciał, to mógłby sprzedawać dane klientów za 20 zł, a tego nie robi i mój skan u niego jest bezpieczny. Oczywiście zastrzegł, że żartował. Opadły mi ręce. Stanowczo poprosiłem aby wykasował skan z komputera. Do tej pory nie jestem do końca pewny czy on to zrobił. Dlatego przestrzegam przed takimi „firemkami”, bo właściciele niektórych czują się wszechwiedzącymi i mają zapędy dyktatorskie.
    Pozdrawiam

    • @Tomasz

      Nie dziwi mnie to w ogóle. Bo to nie jest odosobniony przypadek.

  22. ho ho.. nawet e-maile są z nazwami, hasłami itp.. z serwerków NAS. O ja Cię…

  23. Redakcja 2020.12.07 10:12 | # |
    Załóż że były. Są. I będą. I po prostu minimalizuj ilość podawanych informacji na swój temat, a zwłaszcza takich, których nie chciałbyś zobaczyć publicznie + zabezpiecz swoje obecne konta tak, jak to jest pokazane tutaj:

    I co z tego jak dane wyciekają bez naszej winy, pytanie gdzie można sprawdzić czy moje dane wyciekły?

    • Chodzi o to, że nie możesz ufać informacji, że nie wyciekły. Bo po prostu usługa “sprawdzająca” może nie być świadoma wycieku (i bardzo często nie jest). Dlatego dla własnego dobra załóż, że wszystko co przesyłasz przez internet jest (już) publicznie dostępne. Dla każdego. I na zawsze.

  24. […] informuje o niepokojącym wycieku danych z polis ubezpieczeniowych. Jak możemy przeczytać na stronie portalu, o problemie poinformował czytelnik. Zauważył on, że pod pewnym adresem w domenie ent-broker.pl […]

  25. chciałem się dopisać do webinara ale link do sklep.nieb…. nie działa

    • Już śmiga.

  26. @Redakcja

    Nie możecie zrobić jakiejś stronki gdzie wrzucicie do sprawdzenia sobie danych czy w ogóle wyciekły dane osoby.

    Np: Podaj nazwisko oraz podaj ostatnie 4 cyfry peselu. Jeżeli jest jakiś rekord to wyświetli info, iż dane były w wycieku :)

    • Niestety w Polsce takie serwisy zgonie z naszym prawem są nie legalne

    • Podaj swoje dane a odpowiemy ci czy wyciekły xd

      Tak chyba działały kiedyś komercyjne systemy typu “bezpieczny pesel”

  27. Ten plik 900 megsów to kopia strony internetowej z backupami a wiem bo mam go . Ale najmądrzejsi są Ci co nie mają ale wiedzą co tam było .

  28. Przeczytałem to ich oświadczenie kilka razy. Ciekawi mnie, czy dostrzegli to, że RODO to może być ich najmniejszy problem. Nie wiem, czy ubezpieczyciele, ubezpieczający i ubezpieczeni, jeśli się znajdzie choć jeden realnie poszkodowany sytuacją, nie będą groźniejsi niż jakiś tam UODO… Wszak UODO chodzi o urzędniczy wynik, a im wyłącznie o pieniądze.

    • Jednakże trzeba pamiętać, iż kara z UODO na płaszczyźnie RODO może być “kosmiczna”. Przywołajmy chociażby sytuacje morele.net.

    • No niby może być kosmiczna, ale to będzie kiedyś, na przełomie lipca i listopada. Natomiast bogate spółki z sektora finansowego są naprawdę bardzo sprawne w odzyskiwaniu utraconych pieniędzy, a poirytowani zamożni klienci też mogą być bardzo skuteczni, na przykład z pomocą dobrze zbudowanych przyjaciół.

      Zwróć też uwagę, jak sprawnie ta pani próbowała skanalizować całą sprawę
      na spółkę kapitałową, oddalając sprawę od swojej jednoosobowej działalności…

  29. […] Z różnych wycieków, których naprawdę nie brakuje. Ot choćby ten, w ramach którego wyciekły polisy ubezpieczeniowe setek Polaków. […]

  30. W przypadku takiego olewczego stosunku powinniście rownolegle wysłać zgłoszenie do UODO.

  31. nie lubie ostanio niebezpiecznika, ciagle gadacie/pierdol*** o wyciekach, ktos popelnij blad ok po co trabic na cala pl ? gdybym byl właścicielem takiej firmy zarzadam byl usuniecia takiego wpisu.

    • Bo ten błąd dotyczy ich klientów w całej PL.

      Ciekawe na jakiej podstawie byś żądał usunięcia? Powinno się o tym trąbić, żeby dać do myślenia innym firmom oraz zwykłym ludziom, którzy zostawiają więcej danych niż muszą.

    • W normalnym kraju będąc prezesem takiej firmy to TY byś był na grillu.

  32. “nasi redaktorzy pliku nie pobrali):”
    Macie to poczucie humoru. :)

  33. No fakt.

  34. Zgodnie z prawem ENT powinien mięć powołanego IOD’a, jako podmiot przetwarzający. Dziwne, że w oświadczeniu podają Prezes jako “punkt kontaktowy”… Wyznaczenie IOD nie jest fakultatywne, a obowiązkowe dla takich podmiotów.

  35. Jak mogę sprawdzić czy moja polisa jest wśród tych co wyciekły

  36. Zgłaszać, tępić, banować, nagłaśniać, pozbawiać klientów – przez portfel do rozumu. To jedyny sposób na cwaniaków od taczki i gnojownika, którym marzą się biznesy budowane na wykorzystywaniu pracy innych, wiecznych oszczędnościach i chałturach robionych przez gimbazę wyuczoną na jutubach. Niedouczonych tumanów bez wyobraźni – pełno ich nie tylko w biznesie, spotykasz ich codziennie na drodze, w autobusie, w kolejce na poczcie…
    Mistrzów ciętej riposty, którym wiecznie za drogo, oczekujących, że będziesz na nich zap… za referencje!
    Sugeruję zapytać Panią Prezes, czy pokryje koszty dopisania się do baz danych celem zastrzeżenia danych wrażliwych, jak sugeruje w komunikacie.

  37. I cały bezsens smRODO / GDPR, UODO i reszty obnażony kolejny raz. Reakcji prokuratury nie ma, UODO – nie ma, KARY – nie ma. Gdyby była kara na dzień dobry 1 mln PLN lub więcej, rok więzienia i trąbienie w mediach o temacie, to może by rozsądek za którymś razem przyszedł. Tymczasem, Europa tak walczy o prywatnosć że szary czlowiek jest w d…ie, ale za to ma pop-upy na stronach i brak skutecznego contact -tracingu w pandemii.

  38. Proszę sobie wyobrazić, że ENT-Broker rozesłał do adminsitratorów informacje o incydencie w ten sposób, że niektórzy się o tym dowiedzieli dopiero w wigilie :).
    Pełna profeska.

  39. Czy za cos takiego to nie można pozwac? W sumie to teraz będzie drogo w TU dla poszkodowanych. Ryzyko bardzo duże.

  40. […] natychmiastowa i należą się za nią brawa. Nikt niczego nie ignorował jak w innych tego typu przypadkach. Tuż po zgłoszeniu otrzymaliśmy odpowiedź od prezesa, że firma analizuje sprawę, a chwilę […]

  41. […] zapraszamy do kontaktu z nami, z chęcią pomożemy Wam anonimowo zgłosić błąd — od lat pośredniczymy w zgłaszaniu luk w różnych systemach w imieniu Czytelników. Zgłaszający ma wtedy pewność […]

Odpowiadasz na komentarz Rafał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: