14:53
28/10/2021

Totolotek został trafiony ransomwarem. Informuje o tym ofiary w e-mailach, które właśnie zaczął rozsyłać. Zaszyfrowano systemy, ale włamywacze mogli też ukraść dane użytkowników. Sporo danych:

– Pesel
– Nr dokumentu tożsamości
– Adres zamieszkania
– E-mail
– Telefon

Oto pełna treść komunikatu:

Szanowna Pani / Szanowny Panie, Prosimy o przeczytanie ważnej wiadomości.
Z ustaleń prowadzonego przez nas postępowania wyjaśniającego wynika, że w dniu 30 września 2021 r. Totolotek S.A. padł ofiarą przestępstwa (cyberataku). W rezultacie tego ataku, doszło do zaszyfrowania części archiwalnych danych, dotyczących okresu sprzed 22 lipca 2019 r. W chwili wykrycia nieprawidłowości nasze systemy IT zostały odłączone od sieci, celem zapobieżenia możliwości dostępu do danych Totolotek S.A. przez osoby nieuprawnione.
W ramach prowadzonego postępowania wyjaśniającego nie udało się wykluczyć możliwości, że osoby nieuprawnione mogły mieć dostęp do wskazanych poniżej danych. Kierując się troską o prywatność i bezpieczeństwo naszych klientów, przesyłamy więc niniejszą informację na temat danych, które mogły zostać ujawnione, możliwych konsekwencji ich ujawnienia oraz środków zaradczych, które można podjąć w celu zminimalizowania ryzyka z tym związanego.
Dane osobowe, do których dostęp mogły uzyskać osoby nieuprawnione, to dane archiwalne według stanu na dzień 21.07.2019 r. mogące obejmować: login, email, numer telefonu, imię, nazwisko, płeć, datę urodzenia, numer dowodu osobistego, PESEL, adres zamieszkania, numer rachunku bankowego.
W związku z tym, nie możemy wykluczyć, że Pani/Pana dane osobowe mogą być wykorzystane przez nieuprawnione osoby. Dane te mogą zostać użyte do (przykładowo) założenia konta w systemie informacji kredytowej, aby monitorować Pani/Pana aktywność kredytową, zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, założenia konta w serwisie społecznościowym, kierowania do Pani/Pana niezamówionych informacji handlowych drogą pocztową lub za pomocą poczty email. Jest nam bardzo przykro z powodu tego zdarzenia. Chcielibyśmy podkreślić, że podjęliśmy przewidziane prawem kroki i powiadomiliśmy o tym zdarzeniu właściwe instytucje – w tym organy ścigania oraz Urząd Ochrony Danych Osobowych. Podjęliśmy także niezbędne działania, aby podobne zdarzenie nie miało miejsca w przyszłości. Totolotek S.A. podjął już następujące kroki w celu ograniczenia ewentualnych skutków ataku, tj. serwery zostały permanentnie odcięte od internetu, trwa także proces informatyczny mający na celu utrudnienie oraz uniemożliwienie nieuprawnionego dostępu w przypadku prób przyszłych ataków. Ponadto, zachęcamy Państwa do rozważenia możliwości podjęcia następujących czynności, w celu zminimalizowania ryzyka związanego z ewentualnym wykorzystaniem Państwa danych przez osoby nieuprawnione: regularnego zmieniania haseł do Państwa konta, nieotwierania wiadomości od nieznanych nadawców, sprawdzenia Państwa historii kredytowej, zastrzeżenia kont w odniesieniu do których możliwe było uzyskanie dostępu na podstawie ww. danych, zastrzeżenie dowodu osobistego oraz natychmiastowe poinformowanie Policji, jeśli powezmą Państwo informacje, że jakiekolwiek z tych danych zostały wykorzystane przez osoby trzecie. Więcej informacji może Pan/Pani uzyskać pod adresem: odo@totolotek.pl, lub telefonicznie pod numerami +48 (022) 321 03 40 lub +48 507 002 393 lub +48 507 002 139.

Co robić? Jak żyć?

W tym przypadku dane są kompletne. To nie jest “byle” wyciek. Totolotek nie przekazał żadnych praktycznych porad ofiarom, a ryzyka są w naszej ocenie poważne. Z tymi danymi łatwiej można wyłudzić pożyczki lub skraść tożsamość i przejąć konta w różnych systemach (do generowania duplikatów kart SIM włącznie).

Ponieważ w Polsce wciąż nie ma mechanizmu Credit Freeze, czyli darmowej możliwości zablokowania wniosków o kredyty w naszym imieniu, skazani jesteśmy wszyscy na łaskę przestępców… Ponieważ wiele firm korzysta z PESELI do uwierzytelniania obywateli (a nawet — co gorsza — ich autoryzacji) to sytuacja jest jeszcze gorsza. To nie tylko smutne, to jest po prostu patologia.

Z tego powodu, jeśli otrzymałeś e-maila od Totolotka, aby zapobiec nieuprawnionemu wykorzystaniu swoich danych w różnych scamach możesz (i powinieneś) zrobić mniej więcej ok. 14 czynności, zamiast włączenia jednego Credit Freeze. Ale nie wszystkie z nich są sensowne dla każdego. I każda zajmuje czas a czasem naraża na koszty lub dodatkowy wyciek danych:

    Co warto (i to czego nie warto zrobić) po wycieku?
    Z jakich usług skorzystać, a z jakich nie?
    Czy zawsze trzeba wyrabiać nowe dokumenty?
    Jak ustalić które dane wyciekły i krążą po sieci?
    Jak zabezpieczyć się przed wyciekiem na przyszłość?

Odpowiedź na te pytania z uwzględnieniem wszystkich wariantów to temat na ebooka a nie artykuł. Kilka lat temu próbowaliśmy to opisać, ale od tamtego czasu wiele się zmieniło. Zamiast to wszystko opisywać na nowo, łatwiej nam było to wszystko pokazać w formie 50 minutowego mini-szkolenia wideo pt. Wycieki Danych, które można zobaczyć online. Dziś do końca dnia, z kodem TOTOLOTEK dostęp jest o połowę tańszy (dostęp otrzymujecie na 30 dni, więc bez problemu zdążycie się z nim zapoznać).

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Co @niebezpiecznik poleca gdy wykradną dane z dowodu osobistego? Monitoring BIK wystarczy czy zastrzeżenie dokumentów?

    • Niestety, nie ma jednoznacznej odpowiedzi – a na pewno jednej poprawnej dla każdego. Ponieważ udzielenie rzetelnej porady wymaga długiego wywodu i zwrócenia uwagi na kilka kwestii (do których każdy podchodzić powinien trochę inaczej), to Marcin nagrał na ten temat poradnik i do niego odsyłamy. Tam jest najbardziej aktualna wiedza, która pozwoli każdemu podjąć odpowiednie decyzje “w zależności od jego sytuacji”, obaw i możliwości. Dawno temu (i jest to już przestarzałe, dlatego do tego nie odsyłamy) opisaliśmy ile różnych rzeczy trzeba wziąć pod uwagę w takiej sytuacji w tym tekście: https://niebezpiecznik.pl/post/co-jesli-oszust-wezmie-pozyczke-na-moje-dane-spojrz-na-te-mapke/ — ale to nie są już w wielu aspektach aktualne rady.

  2. Do weryfikacja konta trzeba było wysyłać jeszcze skan dowodu osobistego… ale skanów chyba nie wykradli..
    Czy jeżeli wykradli dane (tzn. numer) nieważnego już dowodu osobistego to można ,,spać spokojnie” w aspekcie wyłudzania kredytów i przejmowania kont w różnych systemach?

    • Mogą wyrobić “dowody kolekcjonerskie” i już będą mogli skany wysyłać :)

  3. Pytanie czy jeśli zmienię dowód, a ktoś przedstawi mój ważny patrząc po dacie to czy jest sprawdzane, że dowód zgłoszono jako zagubiony czy nadal można zaciągać na niego zobowiązania?

  4. credit freeze jedynym ratunkiem.
    Tylko ilu jeszcze “Dworczyków” muszą zhackować aby rząd się zajął wdrożeniem…
    Może jakąś petycję zrobimy? :)

  5. w kolejce jest lotto.pl

  6. i co dalej? zapłacą jakieś odszkodowanie? można domagać się od nich odszkodowania w przypadku kiedy wezmą na moje dane jakieś osoby pożyczkę?

    • Niczego od nich nie otrzymasz oczywiście możesz zakładać sprawę i się z nimi sądzić ale nie udowodnisz tego że przez ich wyciek cokolwiek możesz stracić nawet jakby ktoś na ciebie wziął krechę w takich sytuacjach działa bodajże uokik który nakłada kare na podmiot któremu zostały skradzione dane oczywiście ty nie zobaczysz nawet złotówki z tej kary :)

  7. zajumali mi dowód. Policja zablokowala go, bank również. Cos mam jeszcze zrobić? Kredyt moga wziac na stary zastrzezony dowód?

    • Jest w artykule – musisz zrobić 14 czynności, których lista jest w – o połowę tańszym – szkoleniu online.

  8. Mam dwa pytania:
    1) Skąd wiadomo czy zhakowano tylko archiwalną bazę danych?
    2) Po co trzymali archiwalne dane użytkowników? Skąd teraz pewność że po usunięciu konta nasze dane nie trafią do takiej archiwalnej bazy?

    • Ja usunąłem w 2019 r konto i wtedy pytałem kiedy skasują historię konta.Odpowiedź po 5 latach ,bo taki wymóg.Też dostałem tego maila.Oby dostali milionowe kary tyle im życzę.Jeszcze trzeba łazić po bankach ,urzędach ,do operatora tel.Kto mi zwróci za to kase i jeszcze czas.

  9. To jest tez przyczynek do tego na jak zenujaco niskim poziomie jest ta dzialalnosc zakladow bukmacherskich w Polsce. Podatek obrotowy okradajacy klientów raz, czesto arbitralne decyzje w sprawie rozliczania rozliczanie zakladow – bardzo czesto na niekorzysc kielntów, gdzie nie ma sie jak odwolac, limitowanie. A jak jeszcze dochodza kwestie bezpieczenstwa przy obowiazku posiadania pelnych danych ze skanami dowodow wlacznie przez te niektore strony krzaki gdzie ostatnia rzecza o ktora dbaja i mysla to bezpieczenstwo, to naprawde strach sie bac. No ale zeby do Polski wkroczyly do Polski sensowniejsze firmy z uczciwszymi warunkami to jednak potrzebne bylyby inne regulacje. czytaj- mozna zapomniec.

  10. “Ruja i porubstwo” – Henryk Sienkiewicz, noblista.
    “Ch##, du## i kamieni kupa” – Bartłomiej Sienkiewicz, prawnuk noblisty, wybitny znawca spraw wewnętrznych Polski, któremu bez wątpienia można ufać w kwestiach sprawności organizacyjnej państwa. O “credit freeze” nigdy nie słyszał. Podobnie jak jego poprzednicy oraz następcy. Amen.

  11. “Z tymi danymi łatwiej można wyłudzić pożyczki”

    “Ponieważ wiele firm korzysta z PESELI do uwierzytelniania obywateli (a nawet — co gorsza — ich autoryzacji)”

    Ależ proszę Państwa!
    Od kogo są wyłudzane pieniądze? Od nas? Czy od banków, Bocianów i innych Providentów?
    Skoro dają na lewo i prawo, to chyba mają za dużo. A skoro mają za dużo, to dlaczego te firmy żądają zwrotu wyłudzonych pieniędzy od nas? Niech żądają od złodziei!
    I co za durnowate tłumaczenie: bo taki był PESEL i nazwisko. A to jakieś tajne dane są? Nie!

    Mam dość czytania o sytuacjach, że ktoś musi udowadniać, że nie jest złodziejem, a banki i parabanki tylko pokazują prawidłowy PESEL.

    Ciekawe czy sąd przyznałby mi rację, gdybym powiedział, że bank ma moje lokaty i nie chce mi ich oddać? I że wiem, że to ten bank, bo znam jego NIP. Chyba by się w głowę pukali. A pewnie znaleźliby też paragraf, że chcę wyłudzić pieniądze.
    Ale w drugą stronę jakoś nikt nie ma oporów dręczyć ofiary. Chory kraj.

  12. Witam,
    Od razu jak ruszyła taka możliwość aby “grać” w Lotto przez Internet i wysyłać im skany dowodów to czułem, że to śliska sprawa z tymi skanami.

    Pozdrawiam.

    • Totolotek z ,,lotto” nie ma nic wspólnego. Na tym wycieku to chyba lotto trochę straci bo wiele osób niesłusznie kojarzy ten wyciek z ich firmą. Totolotek to firma oferująca zakłady bukmacherskie i obecnie nie ma nic wspólnego z lotto. Przed zmianą właścicieli totolotek był jedną z lepszych firm oferujących zakłady bukmacherskie online i stacjonarnie. Punkt stacjonarne, który były w każdym większym mieście niedawno polikwidowali,tłumacząc to sytuacją związaną z wirusem. Teraz nie oferują tam nic ciekawego, żadnych promocji, słabe kursy, nie wiem kto tam jeszcze gra. Gdzie czytałem, że polski rynek jest traktowany przez niemiecką spółkę (która jest obecnie właścicielem Totolotka) marginalnie i możliwe, że firma chyli się ku upadkowi na naszym rynku.
      Jeszcze raz podkreślam Totolotek (właścicielem do 2019 jest niemiecka spółka), a Totalizator sportowy (lotto) to dwie inne firmy i proszę tego nie mylić. Do 2019 totolotek był bardzo dobrym i długo działającym na rynku od lat 90 bukmacherem. Od 2019 wszystko się posypał i teraz jeszcze ten wyciek..

    • Dokładnie, tak jak napisał @nn8 – Totalizator Sportowy – mimo wyrazu “sport” w nazwie – zajmuje się grami liczbowymi. Natomiast Totolotek, którego nazwa w naszym społeczeństwie jest synonimem gier liczbowych akurat takimi grami się nie zajmuje. Pracowałem około 2000r w kolekturze, to mieli wtedy jakiś układ (totolotek z Totalizatorem Sportowym) i można było zakłady, wtedy chyba tylko piłkarskie “puszczać” z maszyn Totalizatora. Szkolenia były osobne, rozliczenia również.

  13. Moja propozycja dla Niebezpiecznika!

    Składamy wniosek o ustawę pozwalającą na branie kredytów. Każdy to będzie chciał wziąć kredyt musi wpisać się do bazy danych. Następnie każdy kto udziela kredytu musi sprawdzić czy dana osoba jest w bazie danych i zrobić jej kilka zdjęć wraz ze sobą.

    Skończą się te wyłudzenia. Gdzie my kur#a żyjemy, żeby ktoś brał kredyt przez telefon. Potem się człowieku męcz jak cię nachodzą po nocach panowie od odzyskiwania długów.

    Hej @Niebezpiecznik zorganizujcie taką akcję. Ja jestem tylko osobą i jestem do tego za słaby. Wy za to macie rozpoznawalność, na pewno inne serwisy się dołączą.

    • A żeby zablokować/odblokować możliwość brania kredytów trzeba podać prawidłowy PESEL ;-)

    • LOL
      a co to będzie za utrudnienie? Zamiast wziąć kredyt wpiszą na listę i wezmą kredyt :P

  14. Pytanie dodatkowe do Totalizatora czy wyciekowi podlegały bazy klienckie czy również pracownicze? W takich instytucjach nie zawsze są one poprawnie odseparowane.

    • Totolotek to prywatna firma, bukmacher, nie ma nic wspólnego z Totalizatorem Sportowym operującym lotto.pl

  15. Branżowy komentarz + 15 minutowe WIDEO jak zabezpieczyć swoje dane z totolotak w formie “PLANU MINIMUM” (szeroki plan na niebezpiecznik.pl):

    https://surebety.pl/artykul/wyciek-danych-klientow-z-totolotek-pl-co-teraz/

  16. Jeśli byłem kiedyś klientem totolotka i nie otrzymałem od nich powiadomienia o incydencie to moje dane są bezpieczne?

  17. A ja myślę tak, że jeśli teraz ktoś weźmie kredyt na moje dane, to harmonogram spłat wyślę do Totolotka. Plus zawiadomienie do GIODO o bezprawnym przekazaniu moich danych.

    • @Janek
      Zeby cos takiego musialbys udowodnic ze te dane nigdy nie wyciekly nigdzie indziej, co nie dosc ze nie jest mozliwe to najprawdopodobniej nie jest nawet prawdą.

      Pozyczkodawca i zlodziej to jedyne strony ktore moga rozwiazac taki problem a powodzenia w szukaniu zlodzieja czy tym bardziej w sciaganiu od niego ukradzionej kasy…

  18. Ja weryfikowałem się za pomocą paszportu. Macie szkolenie odnośnie paszportów? Czy w jakikolwiek sposób to zmniejsza ryzyko czy trzeba postępować analogicznie do straty dowodu?

  19. “Totolotek Zhakowany! Kazdy Los Wygrywa!!!”

    To by dopiero byla wiadomosc! Zwykly wyciek jest troche, …meh :p

    Co to swoja droga wogole za pomysl zeby zostawiac tam swoje dane? Co nastepne, tablica wynikow (top) przed klinika anonimowych alkoholikow?

  20. A co w przypadku jak ktoś weryfikował konto paszportem?

  21. Ufff… najważniejsza dla mnie informacja, to z to z komentarza Totolotek to nie Lotto :))))))))))

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: