20:03
4/11/2016

Niektórzy klienci UPC otrzymali kilka dni temu e-maila z linkiem do nowej, specjalnej oferty. Wiadomość nie była fałszywa i w istocie pochodziła od UPC, a link z e-maila kierował do formularza z automatycznie uzupełnionymi danymi klienta. Problem w tym, że nie były to dane odbiorcy e-maila, a innych klientów UPC. Firma zapewnia, że powiadomiła o wycieku GIODO i swoich klientów.

O wycieku z UPC dowiedzieliśmy się od kilku czytelników, którzy 27 października otrzymali takie e-maile z zachętą do sprawdzenia nowej oferty:

upc-fail-1

Niestety kliknięcie w link “Sprawdź ofertę” odsyłało do formularza, w którym były wprowadzone dane innej osoby. Przykładowo jeden z naszych Czytelników ujrzał dane nieznanej mu pani Barbary.

Formularz UPC uzupełniony danymi innego klienta

Formularz UPC uzupełniony danymi innego klienta

Jak widzimy, ze względu na awarię skryptu uzupełniającego dane klientów UPC (lub mechanizmu cache’owania) doszło do ujawnienia następujących danych:

    adresu zamieszkania,
    adresu e-mail,
    numeru telefonu,
    nazwiska.

Jeden z naszych Czytelników twierdzi, że majstrując przy linku odsyłającym do oferty był w stanie uzyskać dostęp do danych kolejnych klientów.

UPC: “Natychmiast zajęliśmy się sprawą

Po zgłoszeniach od czytelników o incydent zapytaliśmy UPC. Chcieliśmy wiedzieć m.in. jakie były techniczne przyczyny wycieku, ale tego dokładnie się nie dowiedzieliśmy. Natomiast rzecznik UPC, Michał Fura, przekazał nam informacje o skali wycieku i o działaniach podjętych przez UPC. Poniżej przytaczamy jego komentarz.

W wyniku niezamierzonego błędu komunikacja marketingowa adresowana do wybranej, wąskiej grupy adresatów trafiła do niewłaściwej listy odbiorców. W efekcie, po kliknięciu na link i przekierowaniu na stronę, w formularzu zamówienia mogli oni zobaczyć imię i nazwisko, nr telefonu oraz adres instalacji usługi, innej osoby. Natychmiast zajęliśmy się sprawą i wyeliminowaliśmy błąd. Zgodnie z prawem, poinformowaliśmy o tym incydencie kilkadziesiąt osób, których dane mogły zobaczyć osoby trzecie, jak również adresatów korespondencji oraz przeprosiliśmy za zaistniałą sytuację. Informację zgodnie z obowiązującym prawem przekazaliśmy też do Generalnego Inspektora Ochrony Danych Osobowych.

UPC w istocie zareagowało dość szybko, gdyż jak doniósł nam jeden z czytelników, po kolejnej jego próbie kliknięcia w link e-maila, zamiast formularza z danymi innego użytkownika, zobaczył taką oto stronę:

upc-fail-3

Dziś rano czytelnicy donieśli nam, że od UPC otrzymali e-maile o następującej treści:

Szanowni Państwo,
27 października 2016 roku wysłaliśmy e-mail z dedykowaną ofertą marketingową.
Na skutek niezamierzonego błędu komunikacja została źle zaadresowana w wyniku czego inny klient mógł zapoznać się z Państwa danymi osobowymi tj.: imieniem i nazwiskiem, adresem e-mail, nr telefonu komórkowego oraz adresem instalacji usług UPC Polska, natomiast pod wskazanym linkiem skierowanym do Państwa pojawiły się dane osobowe innego klienta UPC Polska. Bardzo przepraszamy za zaistniałą sytuację. Niezwłocznie po zidentyfikowaniu incydentu podjęliśmy środki, które wykluczyły możliwość odczytania danych
W trosce o dobro osoby, której dane mogli Państwo poznać, prosimy o ich nieujawnianie innym osobom. Bardzo przepraszamy za zaistniałą sytuację.
Niezwłocznie po zidentyfikowaniu incydentu podjęliśmy środki, które wykluczyły możliwość odczytania danych. Zgodnie z obowiązującym prawem, informacja o zdarzeniu została przekazana Generalnemu Inspektorowi Ochrony Danych Osobowych. Podjęliśmy działania, aby powyższa sytuacja nie miała miejsca w przyszłości.
W razie jakichkolwiek pytań lub wątpliwości prosimy o kontakt na adres poczty elektronicznej politykaprywatnosci@upc.pl

To co jest interesujące, to fakt, że powyższą wiadomość przekazało nam dziś rano aż kilkunastu czytelników. Wedle rzecznika UPC, problem dotyczył zaledwie kilkudziesięciu osób. Wygląda więc na to, że znaczna część ofiar jest naszymi czytelnikami, którym chciało się nas o tym poinformować. Hmm… ;)

Niezależnie od tego, ilu faktycznie jest poszkodowanych, jak widać na przykładzie UPC, nowe prawo, które nakazuje operatorom informować swoich klientów o wycieku ich danych działa. Firmy mają obowiązek powiadamiać klientów i robią to. Pierwszym operatorem, który poinformował o wycieku danych swoich klientów była jednak Netia, której baza klientów została opublikowana w internecie przez rosyjskich włamywaczy.

Na koniec przypomnijmy, że to nie pierwszy raz, kiedy UPC wyciekają dane klientów. Jeśli jesteście abonentem UPC, pamiętajcie też aby zmienić domyślne hasło do swojego konta, ponieważ monterzy mogą je znać.

Dziękujemy kilkunastu czytelnikom, którzy przesłali nam informację zarówno o pierwszym, jak i drugim e-mailu od UPC

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Też znalazłem się na liście “nielicznych” którzy takiego maila otrzymali. 27 października dostałem stosownego maila, lecz w moim przypadku po kliknięciu w pole “Sprawdź teraz” owszem – przeniosło mnie do konta, jednakże żadnych danych innych osób nie widziałem. I zgodnie z podanymi wyżej informacjami 3.11 przed 18:00 dostałem drugiego maila.
    Mam nadzieję, że mimo krótkiej mojej “współpracy” (raptem 3-ci miesiąc leci) więcej błędów w UPC nie będzie.

  2. Coś czuję, że powiadomienie wycieku danych poszło tylko do osób, które otrzymały mail z ofertą a nie do wszystkich, których dane mogły się pojawić. UPC nie może się ze mną kontaktować (nie wyraziłem zgody) więc też nie dowiem się, czy moje dane wyciekły.

    • Ja dostałem maila z ofertą, ale nic o wycieku.

    • Jeżeli jesteś ich klientem i masz umowę z nimi to niezależnie czy wyrażałeś zgodę (tylko na co nie wyraziłeś zgody? marketing?) czy nie i tak mają OBOWIĄZEK Ciebie poinformować – ile byś tam im zakazów nie dawał i zgód nie podpisywał :). Pozdrawiam

  3. Ja w upc mam specjalny adres mailowy do faktur, adres dedykowany tylko im. Zobaczymy czy gdzieś to nie wyjdzie w świat.

  4. “Jeden z naszych Czytelników twierdzi, że majstrując przy linku odsyłającym do oferty był w stanie uzyskać dostęp do danych kolejnych klientów.”

    Czyli co? W linku byl zaszyty id albo hash z samego id? Brawo! :D

  5. “nowe prawo, które nakazuje operatorom informować swoich klientów o wycieku ich danych” – co to za prawo?

    • Nie ma takiego prawa. Obowiazek zglaszania incydentow do GIODO powstanie dopiero od 25.05.2018 r. (Wejscie w zycie RODO)…
      Wiec albo ktos tu ubarwia albo ktos sie stara byc swietszym od papieza.

    • A art. 174a prawa telekomunikacyjnego? :)

    • Kasiu jak wspomniała Xtina w stosunku do przedsiębiorców telekomunikacyjnych taki obowiązek ( czyli zgłaszanie do GIODO naruszeń danych osobowych) już istnieje. Reguluje to Prawo telekomunikacyjne w art. 174a oraz Rozporządzenie Komisji UE 611/2013 z dnia 23 czerwca 2013 r.

  6. A wszystko przez wredną literówkę, bo gdyby było w linku do oferty “SprawDŹ teraz” zamiast “SprawŹ teraz”, to wszystko byłoby ok :) A tak na poważnie, to przyczyna błędu jest oczywista – niechlujność osoby przygotowującej wiadomość do klientów…

    • Serio myślisz, ƶe jakaś osoba przygotowywała te wiadomości (iterowała się po liście linków etc?).

      Napisali bota. Pomyliło im się coś w jednej pętli, nie sprawdzili bo to przecieƶ pracownikowi trzeba by było za godziny zapłacić… i puścili w świat. Tak się kończy dev na produkcji wsparty pokaźną dawką naszego systemu edukacji.

  7. Orientujecie się może czy takie zgłoszenie do GIODO można zdobyć jako informacja publiczna?

    • Złoż wniosek o dane, jak otrzymasz decyzję odmowną to skargę do WSA, później apelację do NSA i będziesz wiedział :-) IMHO jest szansa że nie otrzymasz decyzji odmownej.

  8. Ja kiedyś dostałem cudzą fakturę z NC+ i oferty. Wycieku nie było- facet miał jeszcze firmę na te dane.

  9. Kolejny wyciek danych, który mam wrażenie jest bagatelizowany i nieumiejętnie zamiatany pod dywan. Nikt w tym kraju nie dba o należyte bezpieczeństwo danych?

  10. Co więcej UPC kupuje listy mailingowe od spamerów crawlujących sieć w poszukiwaniu adresów… Po 5-6 maili dostaje z ich reklamami…

    • Też dostaję, mimo że ich usługi są dla mnie całkowicie niedostępne. Średni sens wysyłania takiego spamu.

  11. Oczywiście, żadnej kary finansowej nie będzie, zapewne żądnego zwrotu dla abonenta. Mówiąc krótko ‘deal with it Kowalski’, jaki kraj taki obyczaj.

  12. Ja także dostałem taki list, chociaż… nie jestem klientem UPC. Zapytałem BOK, czy to nie “fałszywka wyłudzająca” i bardzo szybko dostałem odpowiedź z wyjaśnieniami podobnymi do opisanych w artykule. Przypuszczam, że mój adres wziął się z jednorazowej rozmowy telefonicznej z BOK, po tym jak reprezentowałem klienta UPC podczas wymiany uszkodzonego routera. Bardzo nalegali na wypełnienie ankiety na temat jakości obsługi. Podałem adres poczty elektronicznej, uznając powagę tak dużej firmy za wystarczającą rekomendację bezpieczeństwa. Krzysztof Podstawa

    • Ale poprosiłeś, żeby ujawnili twoje dane, co by więcej spamu dostawać? omfg, każdy normalny człowiek użyje maila osoby której pomaga lub przeznaczonego pod spam.

    • Nie jestem normalnym człowiekiem. M.in. dlatego, że nie stosuję FB (może coś-ktoś mi tam założył konto bez mojej wiedzy) lub podobnych wspólnot. Ponadto nie stosuję smartfonów, lecz mam dopiero drugi telefon komórkowy w życiu (Nokia 1800) i jestem u tego samego operatora od 18 lat. Mógłbym wymienić więcej moich nienormalności, ale po co straszyć świat koszmarem, że taki ktoś jak ja – istnieje naprawdę. K.P.

  13. A co jeśli firma nie poinformuje o wycieku danych?
    Czy do wycieku danych można zaliczyć niecelowe wysłanie wiadomość do wielu osób nie ukrywając ich maili?

    • odpowiedź na 1 pytanie – GIODO może w drodze decyzji nałożyć karę po kontroli i zweryfikowaniu takiej informacji, prokuratura może, i opisy w mediach jak by ktoś inny ujawnił taką aferę zamiecioną pod dywan, to się zmieni 25 maja 2018r. jak wejdzie RODO w życie – wtedy będzie obowiązek informacyjny… (bez wchodzenia w szczegóły)

      odp na 2 pytanie: tak jak najbardziej – a osoba która takie coś zrobiła może zostać dyscyplinarnie zwolniona nawet jak było to nieumyślne…

      pozdrawiam

  14. Haha znowu?:D

  15. Proponuję zapytać w tej sprawie GIODO czy faktycznie zostali poinformowani o tym incydencie. To że poinformowali użytkowników nie oznacza, że poinformowali urząd, który może im nałożyć karę i zrobić kontrolę lub zakazać dalszego przetwarzania danych. Jest dobrze… jest bezpiecznie… wycieki danych trwać będą wiecznie.

  16. Od lutego 2017 następny voip_telekom będzie w posiadaniu naszych peseli, Halonet. Przyszła mi informacja obligująca do podania wszystkich danych aby zachować konto. Co ciekawe ipfon nie informuje o wejściu nowej ustawy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.