Virgin Mobile to jeden z najpopularniejszych operatorów wirtualnych w naszym kraju. Sieć na rynku radzi sobie całkiem dobrze, jednak część jej klientów zamiast życzeń świątecznych dostała dziś SMS-em bardzo niepokojącą wiadomość o wycieku danych osobowych. Doszło do ataku hakerskiego.
Wyciek danych osobowych klientów Virgin Mobile
Doszło do wycieku danych części klientów sieci Virgin Mobile, którzy korzystają z oferty na kartę (pre-paid). W ręce cyberprzestępców wpadły takie dane osobowe jak imiona i nazwiska oraz numery PESEL lub numery dokumentów tożsamości. Sieć w odpowiedzi na moje zapytanie zaznaczyła, że wyciek „prawie na pewno” dotyczy tylko osób, które dostały SMS-a o treści, jaką widzicie powyżej. Wygląda na to, że Virgin informuje o sytuacji tylko SMS-owo – maile najprawdopodobniej nie są wysyłane lub przynajmniej pominięto moją mamę, która także jest w gronie poszkodowanych.
Zobacz także: Jak zadbać o to, by smartfon z Androidem działał szybko? Trzy praktyczne porady
Wyciek danych Virgin Mobile – oświadczenie operatora
Skontaktowałem się z Virgin Mobile w sprawie opisywanego wycieku i w odpowiedzi na moje pytanie otrzymałem obszerne oświadczenie, którego większy fragment możecie przeczytać poniżej.
Virgin Mobile Polska niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami, złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO, złoży zawiadomienie o podejrzeniu popełnienia przestępstwa oraz wzmocniła procedury uniemożliwiające wykorzystanie danych abonentów które zostały „zaatakowane” (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami. Spółka podkreśla, iż opisany wyżej incydent jest wynikiem zaplanowanego i umyślnego ataku hackerskiego z wykorzystaniem „złośliwego oprogramowania” oraz, że atak dotyczy wyłącznie części bazy danych abonentów pre-paid ( karta ) naszej spółki oraz, że dane abonentów spółki są bezpieczne, a Spółka podjęła wszystkie działania wymagane w takich wypadkach przez RODO oraz złoży stosowne zawiadomienia dotyczące ataku hackerskiego do organów Policji i Prokuratury. (pisownia oryginalna)
Pod koniec sieć poradziła zastrzec numer dowodu osobistego / numer PESEL lub wyrobić nowy dokument tożsamości klientom, którzy nie czują się bezpiecznie. Virgin sugeruje także ustawienie dodatkowych pytań weryfikacyjnych np. w bankach. Od siebie radzę wykonać kroki, które opisywałem przy okazji wycieku danych studentów oraz kandydatów do SGGW.
Zapytałem o więcej szczegółów drogą mailową, w tym o to, czy w ręce przestępców trafiły także skany lub zdjęcia dowodów osobistych. Na razie nie otrzymałem odpowiedzi, jednak gdy to się zmieni, niezwłocznie zaktualizuje niniejszy wpis. Do wycieku doszło w dniach 18.12.2019 – 22.12.2019, a jego skala nie jest znana – Virgin informuje jedynie o „części” klientów.
AKTUALIZACJA (26.12.2019):
Virgin Mobile poinformowało, że skany dowodów osobistych nie były przedmiotem ataku.