Wyciekły wrażliwe dane części klientów Virgin Mobile Polska

Aktualizacja 30.12.2019 19:06

Urząd Ochrony Danych Osobowych zapowiedział, że „przeprowadzi czynności kontrolne” dotyczące wycieku danych osobowych klientów Virgin Mobile Polska.

Virgin Mobile Polska w zawiadomieniu o naruszeniu ochrony danych osobowych poinformował, że naruszenie „polegało na dostępie do danych z wniosków rejestracyjnych klientów prepaid przez nieuprawnione wykorzystanie aplikacji dostępnej w punktach partnerskich Virgin Mobile Polska sp z o.o.”. Operator oświadczył też, że „usługa, która posłużyła naruszeniu została wyłączona i pozostanie wyłączona do momentu wprowadzenia odpowiednich zabezpieczeń”.

--------

W dniach 18-22 grudnia doszło do ataku na systemy informatyczne Virgin Mobile Polska. Atakujący uzyskali dostęp do danych części klientów usług prepaid.

O ataku Virgin Mobile poinformował 25 grudnia wieczorem. Atakujący uzyskali dostęp do takich danych jak imię i nazwisko oraz numer PESEL lub numer dokumentu tożsamości. W ocenie operatora, incydent bezpieczeństwa był zaplanowanym i umyślnym atakiem.

- Atakujący nie uzyskał dostępu do baz ani infrastruktury Virgin Mobile Polska, a jedynie do części danych udostępnianych przez pojedynczą aplikację – twierdzi Virgin Mobile. W ocenie operatora, atakujący przechwycili dane 12,5 proc. użytkowników, którzy zarejestrowali karty SIM prepaid.

Operator, który na swej stronie internetowej informuje, że jego „systemy informatyczne są zarządzane przez profesjonalistów, którzy wdrożyli odpowiednie mechanizmy zabezpieczeń. Za pomocą specjalistycznych urządzeń i wyszkolonego zespołu monitorujemy naszą sieć pod kątem wszelkich możliwych ataków by w porę je wykryć i zablokować. Wszystkie Wasze dane przekazywane przez naszą stronę internetową są przesyłane do serwerów bezpiecznym, szyfrowanym i uwierzytelnionym połączeniem”  nie ujawnił kiedy atak został wykryty. Na Twitterze poinformowano jedynie, że „niezwłocznie po wykryciu ataku podjęliśmy działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami i złożyliśmy stosowne zawiadomienie do organu nadzoru”.

W kolejnym twittcie Virgin Mobile zapowiedział, że złoży zawiadomienie o podejrzeniu popełnienia przestępstwa oraz, że spółka „wzmocniła procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane”.