Aktualizacja
Marcin Gruszka, rzecznik Play, przekazał nam nowe informacje w sprawie wycieku. Po dokładnej analizie okazało się, że do internetu nie wyciekł żaden numer PESEL. W bazie, która wyciekła znajdowała się pozycja opisana jako NIP/PESEL jednak w większości była pusta. Jeśli już zawierała jakieś dane to numery NIP, które w przypadku przedsiębiorców są powszechnie dostępne.
Oznacza to, że wyciek z Play ma znacznie mniejszą rangę i nie jest tak groźny dla poszkodowanych jak początkowo zakładano.
****
Za pośrednictwem serwisu Wykop.pl nieznany sprawca opublikował link do bazy zawierającej dane kilkunastu tysięcy klientów Play. Analiza, której dokonali eksperci z Zaufanej Trzeciej Strony wyjaśnia, że mamy w tym wypadku do czynienia z informacjami pochodzącymi z jednego salonu sieci w Piekarach Śląskich.
Co zawiera baza? Komplet danych osobowych: imię, nazwisko, adres domowy, adres e-mail oraz numer NIP - donosi ZTS. Nie ma mowy o ataku na całą sieć Play, są jednak powody do niepokoju. Autor ataku zapowiada bowiem kolejne działania.
Sprawca wycieku zamierza sukcesywnie udostępniać dane różnych instytucji, które powinny dbać o bezpieczeństwo IT, a ich pracownicy używają służbowych komputerów do prywatnych rozmów i otwierania załączników niewiadomego pochodzenia, czatowania i oglądania filmów porno.
- wyjaśnia serwis "Zaufana Trzecia Strona"
Dodaje, że publikujący dane działa z pobudek osobistych. Chce, by "w branży IT w Polsce specjaliści zarabiali normalne pieniądze i byli doceniani". Atak na salon Play miałby być więc ostrzeżeniem - zacznijcie traktować bezpieczeństwo poważnie.
Czytaj też: Nie bójmy się RODO - apeluje Ministerstwo Cyfryzacji.
Ponadto autor wycieku oskarża pracownika Play o handel danymi. Twierdzi, że "w wyniku prowokacji kupił je za 2000 zł". Na ten moment nie ma żadnych dowodów na to, że ktokolwiek z pracujących w Play rzeczywiście sprzedał dane klientów. Ponadto osoba oskarżana o kradzież nie jest zatrudniona przez sieć Play.
Sieć podeszła do kwestii wycieku zgodnie ze standardami narzuconymi przez RODO. Po pierwsze, wyciekiem zajęła się jeszcze zanim sprawę opisał serwis Zaufana Trzecia Strona - zadziałał zapewne prowadzony w sieci monitoring. Po drugie o sprawie został poinformowany Urzędu Ochrony Danych Osobowych (następcy GIODO).
Publikowanie w sieci wrażliwych danych nie jest raczej dobrym sposobem na poprawę podejścia do kwestii bezpieczeństwa. Przeciętni internauci pozostają często obojętni na znacznie poważniejsze sygnały, co wykorzystują oszuści, korzystając z coraz bardziej dotkliwych i spektakularnych metod ataków - np. z wykorzystaniem ransomware.
Autor wycieku twierdzi, że chce pomóc, a tymczasem wyrządził realną szkodę tysiącom osób. Poszkodowani nie muszą zamawiać usług monitorującą zaciąganie zobowiązań finansowych - w wycieku nie znalazły się bowiem ani numery PESEL ani seria i numer dowodu osobistego.
Zwróciliśmy się do Play z prośbą o komentarz w tej sprawie. Marcin Gruszka, rzecznik firmy, potwierdził incydent, zapewnił też, że sieć "czynnie pomaga wyjaśnić jak doszło do wycieku".
***