Totolotek S.A. 30 września b.r. padł ofiarą przestępstwa. O incydencie poinformował swoich klientów poprzez zamieszczenie komunikatu na stronie internetowej oraz przesyłając wiadomość e-mail. Cyberprzestępcy zaszyfrowali część danych archiwalnych, zebranych przed 22 lipca 2019 roku. Są to: login użytkownika, e-mail, numer telefonu, imię, nazwisko, płeć, datę urodzenia, numer dowodu osobistego, PESEL, adres zamieszkania, numer rachunku bankowego. Możliwe, że doszło również do wycieku tych danych.
Nie można zatem wykluczyć, że dane osobowe zostaną wykorzystane przez osoby nieuprawnione np. do kradzieży tożsamości i zaciągania zobowiązań finansowych w imieniu ofiary lub do przesyłania niechcianych informacji handlowych. Administrator zapewnia, że o zaistniałej sytuacji powiadomił Urząd Ochrony Danych Osobowych oraz odpowiednie organy ścigania. Totolotek zachęca swoich klientów do zastosowania środków bezpieczeństwa, takich jak m.in. regularnej zmiany haseł, zastrzeżenia dowodu osobistego, sprawdzania historii kredytowej.
JAK POSTĘPOWAĆ W SYTUACJI GDY DOJDZIE DO WYCIEKU NASZYCH DANYCH?
Wyciek danych jest niebezpiecznym zagrożeniem, które może dotknąć nas w cyberprzestrzeni. Może do niego dojść poprzez atak cyberprzestępców lub w wyniku błędu ludzkiego. Znawcy tematu z nutą ironii twierdzą wręcz, że internauci dzielą się na tych, których dane wyciekły i tych, których dane wyciekną niebawem. Jak więc zareagować na taką sytuację? Przede wszystkim w chwili pozyskania informacji o możliwości naruszenia naszych danych powinniśmy zachować szczególną ostrożność wobec wszelkich kierowanych do nas działań informacyjnych i prób kontaktu. Ponadto należy z rozwagą podjąć wszelkie czynności, które uchronią nas przed negatywnymi skutkami wycieku lub je zminimalizują.
W przypadku wycieku z serwisu internetowego, pierwszym krokiem powinna być zmiana hasła do logowania. Dzięki temu zmniejszymy ryzyko wykorzystania konta przez cyberprzestępców (np. konta portali społecznościowych przestępcy mogą wykorzystywać, aby skontaktować się z innymi użytkownikami i wyłudzić od nich informacje lub pieniądze). Pamiętajmy o stosowaniu bezpiecznych haseł i niepowielaniu ich na różnych serwisach. Raz skompromitowane (ujawnione) hasło jest „spalone” wszędzie.
Następnie należy zweryfikować jaki zakres danych został objęty naruszeniem. Często informacja taka podana jest w komunikacie informującym o wycieku (tak jak w sytuacji Totolotka). Jeśli nie została ona podana, powinniśmy zweryfikować jakie dane podawaliśmy usługodawcy, bądź w serwisie www. Informacji takiej powinien udzielić administrator lub wyznaczony przez niego IOD.
Jeśli masz obawy, że doszło do ujawnienia numeru PESEL, możesz spróbować ochronić się przed negatywnymi konsekwencjami poprzez aktywację profilu w serwisie chronPESEL.pl. Można zrobić to poprzez stronę internetową lub dzwoniąc na infolinię. Dzięki aktywacji konta zostaniesz powiadomiony w sytuacji posłużenia się Twoimi danymi lub gdy jakiś podmiot (np. udzielający pożyczek) sprawdzi Twój PESEL w Krajowym Rejestrze Długów. Dzięki temu będziesz miał możliwość udaremnienia wykorzystania Twoich danych lub ograniczenia negatywnych skutków ich użycia.
Dane pochodzące z kradzieży lub wyłudzone mogą zostać użyte przez cyberprzestępców do zaciągnięcia kredytu lub zakupieniu przedmiotu na raty. Aby się przed tym uchronić dobrym rozwiązaniem będzie założenie konta w Biurze Informacji Kredytowej. W sytuacji, gdy przestępca będzie próbował użyć Twojej tożsamości, do BIK wpłynie zapytanie, a serwis nas o tym powiadomi.
W razie kradzieży bądź wycieku danych z dowodu tożsamości należy jak najszybciej zgłosić incydent do organów ściągania, a następnie zastrzec dokument. Można to zrobić przez BIK, profil zaufany ePUAP, bankowość elektroniczną, bądź w urzędzie miasta / gminy.
MOŻESZ PODJĄĆ KROKI PRAWNE
Należy pamiętać, że każdy (bez względu na to jakie dane objęte zostały wyciekiem) ma prawo żądać od administratora informacji i wyjaśnień związanych z sytuacją ujawnienia danych. Można dzięki temu uzyskać pewne informacje związane z ryzykiem, np. do kogo potencjalnie one trafiły oraz czy o sytuacji został powiadomiony Prezes Urzędu Ochrony Danych Osobowych.
Każda ofiara wycieku danych ma prawo wnieść skargę do UODO. Organ może nakazać administratorowi wykonanie określonych czynności związanych z ochroną danych osobowych, a nawet nałożyć karę na podmiot. Być może spowoduje to lepsze zabezpieczenie danych na przyszłość. W sytuacji wykorzystania danych z wycieku do celów przestępczych mamy możliwość powiadomienia odpowiednich organów ścigania. Możemy również dochodzić odszkodowania lub zadośćuczynienia za wyciek naszych danych przed sądem cywilnym wobec podmiotów odpowiedzialnych za niewłaściwe przetwarzanie danych.
CO W SYTUACJI WYCIEKU DANYCH POWINIEN ZROBIĆ ADMINISTRATOR?
Wyciek danych w firmie to bardzo poważny problem. W pierwszej kolejności należy ustalić jego skalę oraz jakiego rodzaju dane zostały ujawnione. Bez względu na przyczynę incydent nie powinien być bagatelizowany przez pracowników administratora.
Może dojść do sytuacji, kiedy sprawca wycieku dodatkowo dane zaszyfruje i za ich przywrócenie (bądź pod groźbą ich upowszechnienia) będzie żądał okupu. Choć może zabrzmieć to abstrakcyjnie, jest to niestety coraz częstsza sytuacja. Należy wówczas zachować spokój i nie wykonywać pochopnych kroków. Błędem byłoby spełnieniem żądań szantażysty. W wielu przypadkach okazuje się, że żądanie okupu jest socjotechnicznym „graniem na emocjach”, a przestępca nie posiada dostępu do żadnych danych. Z drugiej strony zapłata okupu może tylko rozochocić sprawcę i spowodować eskalację jego żądań. Jednak żadnej takiej wiadomości nie można ignorować, ani lekceważyć i należy poinformować o tym fakcie odpowiedne organy.
W przypadku naruszenia ochrony danych osobowych administrator zgłasza ten fakt Prezesowi UODO. Informacje dotyczące zgłaszania naruszeń zostały przedstawione w naszym Komunikacie IOD-y.
Każde naruszenie powinno być dla nas lekcją, z której należy wyciągnąć wnioski, aby uniknąć wystąpienia podobnych naruszeń ochrony danych w przyszłości. Być może w ramach działań korygujących będzie trzeba udoskonalić sposób przetwarzania danych osobowych, zwiększyć środki ochrony lub zaplanować dodatkowe szkolenia z bezpieczeństwa informacji. Warto też uczyć się na błędach innych, aby unikać znanych zagrożeń i ich konsekwencji.