Pracowali dla TVP, teraz ich dane wyciekły do internetu. 10 tys. poszkodowanych, w tym znana aktorka

Jeden z internautów trafił w internecie na bazę współpracowników TVP. Dostępną bez zabezpieczeń i zawierającą dane osobowe, w tym serię i numer dowodu osobistego. Poszkodowanych może być ok. 10 tys. osób.

Serwis Niebezpiecznik ujawnia wyciek danych osobowych ok. 10 tysięcy osób, które podjęły, lub chciały podjąć, współpracę z Telewizją Polską. Do internetu wydostała się niezabezpieczona baza danych zawierająca liczne dane osobowe: imię i nazwisko, numer PESEL, numer telefonu, adresy zamieszkania. 

Przeglądarka Google narzędziem hakera

Dane, które odnalazł jeden z internautów, były dostępne po wpisaniu w przeglądarkę Google prostego polecenia. To tzw. operator intitle. Ogranicza on wyniki wyszukiwania do dokumentów zawierających dany wyraz w tytule. Uzyskanie danych nie wymagało podawania hasła, nie trzeba było przełamywać zabezpieczeń - pliki z bazą danych podsuwała pod nos wyszukiwarka Google. 

Proste polecenie pozwoliło wyszukać bazę danych w przeglądarce Google 

Jakie dane wyciekły?

Niebezpiecznik wyjaśnia, że źródłem wycieku jest jedna z agencji współpracujących z TVP, a także strona TVP. Wśród poszkodowanych jest kilka grup osób:

Nieprofesjonalni aktorzy, którzy nawiązali lub chcieli nawiązać współpracę z telewizją. Oprócz danych osobowych, takich jak imię, nazwisko i adres, baza zawierała w tym wypadku również dane biometryczne. 

Czytaj też: Rewolucja RODO tuż tuż, a firmy dalej nie dbają o dane osobowe

Pełnomocnicy osób niepełnoletnich. Najczęściej chodzi o rodziców, którzy w imieniu dzieci lub nastolatków zgadzali się na udostępnianie danych. W wypadku oprócz adresu wyciekły zarówno numery PESEL rodzica, jak i dziecka. 

Aktorzy i aktorki. Wyciek zawierał też bazę numerów telefonów.

Wśród poszkodowanych jest też, jak podaje Niebezpiecznik, Anna Dereszowska, znana aktorka. W jej wypadku do sieci wyciekły też seria i numer dowodu osobistego. 

W jaki sposób doszło do wycieku?

Bazy danych stały się widoczne dla przeglądarki Google z powodu błędu w trakcie ich przenoszenia między serwerami. Formularz zgłoszeniowy, z którego korzystali współpracownicy TVP zgłaszający się do agencji nie korzystał z szyfrowania. 

Po interwencji Niebezpiecznika lukę załatano, jednak nie sposób ocenić, jak długo pozwalała na wykradanie danych i kto z tego skorzystał. 

Nadchodzi RODO, takie wycieki mogą kosztować

Tego typu wycieki danych niosą ze sobą spore niebezpieczeństwo. Dane osobowe są bowiem cenne dla cyberprzestępców. Po pierwsze ofiary ataku mogą stać się ofiarą phishingu - mogą na przykład otrzymać fałszywy e-mail z zaproszeniem na casting, który w rzeczywistości posłuży do przejęcia kontroli nad kontem. W niektórych wypadkach przestępcy mogą próbować zaciągać pożyczki lub inne zobowiązania.

Wycieki są też groźne dla firmy, które dane przechowują. Wkrótce wchodzi bowiem w życie nowa ustawa o ochronie danych osobowych. RODO za brak w zabezpieczeniu danych przewiduje dotkliwe kary finansowe. Jej górna granica w regulacjach RODO to 20 mln euro bądź 4 proc. rocznego światowego obrotu danego przedsiębiorcy. 

***

Rafał Agnieszczak: Ktoś, kto zawsze jedzie po bandzie, nie wygra w biznesie [NEXT TIME]