29/12/2017
Jeden z naszych Czytelników poinformował nas, że osoba z jego rodziny otrzymała list od Western Union będący powiadomieniem o wycieku danych. W liście napisano:
Wykryliśmy, że niektóre informacje o Tobie mogły ulec nieautoryzowanemu ujawnieniu w wyniku włamania do systemu dostawcy zewnętrznego używanego do przez Western Union do ochrony przechowywanych danych. Natychmiast zmieniliśmy naszego zewnętrznego dostawcę bezpiecznego systemu przechowywania danych. Niezwłocznie zgłosiliśmy również naruszenie prawa i aktywnie uczestniczymy w toczącym się postępowaniu.
(…)
Twoje dane, które mogły być zaangażowane, zawierają podstawowe informacje o zatrudnieniu, dane kontaktowe, data urodzenia, PESEL, kwota transakcji, numer transakcji, czas transakcji. Informacje w systemie były przechowywane w formie, która powoduje, że bardzo trudno będzie je wykorzystać przez innych.
W liście wskazano numer telefonu, pod którym rzekomo można uzyskać dodatkowe informacje. Nasz Czytelnik stwierdził jednak, że konsultanci nie wiedzieli nic więcej.
I my zwróciliśmy się z pytaniami do Western Union. Claire Treacy (zatrudniona na stanowisku Global Regulatory/Risk Communications Leader) przesłała nam następujące oświadczenie.
There was a computer intrusion into an external vendor system formerly used by Western Union for data storage that involved a small number of Polish consumers. Upon detecting suspicious activity, Western Union immediately discontinued use of the system. Western Union did not use this external system for its money transfer and payment operations, which are separate and were not involved in this incident. The Company is not aware of any instances of fraud, identity theft or other harm to any individual related to this incident.
Oświadczenie nie wnosi wielu dodatkowych informacji ponad to, co było w piśmie. Wiemy przynajmniej, że wyciek dotyczył “małej liczby polskich klientów”, a zaatakowany system nie miał nic wspólnego z operacjami pieniężnymi. No i mamy potwierdzenie, że pisma z powiadomieniem o wycieku naprawdę rozsyłało WU. Jeśli ktoś z was wie o tym coś więcej to czekamy na informację i gwarantujemy anonimowość.
O ile pamietam to WU zawsze mowil ze dane beda wykorzystywane tylko do realizacji platnosci. No popatrzmy – tu mowia ze dane umiescili na obcym systemie nie przeznaczonym do obslugi platnosci. Za ktorym razem mowili nieprawde?
Nie wierzę nikomu, kto twierdzi iż dane przetwarza tylko do celów aktualnej transakcji/zakupu etc. Raz przekazane danemu podmiotowi dane przechowywane są w nieskończoność, nawet gdy rozwiążesz umowę, zlikwidujesz konto, cofniesz wszystkie zgody etc. Może GDPR w jakimś stopniu zminimalizuje ten proceder, bo wystraszy szaraczków i niskobudżetowców, którzy zaczną obawiać się przechowywania danych, których nie potrzebują i związanego z tym ryzykiem – ale jakoś w to wątpię.
Nie przyszło Ci do głowy, że firmy, które obracają dużymi pieniędzmi mogą być _prawnie_ zobowiązane do przechowywania informacji o przeprowadzonych transakcjach? Zresztą pamięć najwyraźniej Cię okłamuje, bo na ich stronie “Zasady ochrony prywatności” lista gromadzonych danych ma kilka punktów, lista sposobów wykorzystania również. Ba, piszą nawet o przechowywaniu kopii dokumentu tożsamości.