Aktualizacja
Marcin Gruszka, rzecznik Play, przekazał nam nowe informacje w sprawie wycieku. Po dokładnej analizie okazało się, że do internetu nie wyciekł żaden numer PESEL. W bazie, która wyciekła znajdowała się pozycja opisana jako NIP/PESEL jednak w większości była pusta. Jeśli już zawierała jakieś dane to numery NIP, które w przypadku przedsiębiorców są powszechnie dostępne.
Oznacza to, że wyciek z Play ma znacznie mniejszą rangę i nie jest tak groźny dla poszkodowanych jak początkowo zakładano.
****
Za pośrednictwem serwisu Wykop.pl nieznany sprawca opublikował link do bazy zawierającej dane kilkunastu tysięcy klientów Play. Analiza, której dokonali eksperci z Zaufanej Trzeciej Strony wyjaśnia, że mamy w tym wypadku do czynienia z informacjami pochodzącymi z jednego salonu sieci w Piekarach Śląskich.
Co zawiera baza? Komplet danych osobowych: imię, nazwisko, adres domowy, adres e-mail oraz numer NIP - donosi ZTS. Nie ma mowy o ataku na całą sieć Play, są jednak powody do niepokoju. Autor ataku zapowiada bowiem kolejne działania.
Sprawca wycieku zamierza sukcesywnie udostępniać dane różnych instytucji, które powinny dbać o bezpieczeństwo IT, a ich pracownicy używają służbowych komputerów do prywatnych rozmów i otwierania załączników niewiadomego pochodzenia, czatowania i oglądania filmów porno.
- wyjaśnia serwis "Zaufana Trzecia Strona"
Dodaje, że publikujący dane działa z pobudek osobistych. Chce, by "w branży IT w Polsce specjaliści zarabiali normalne pieniądze i byli doceniani". Atak na salon Play miałby być więc ostrzeżeniem - zacznijcie traktować bezpieczeństwo poważnie.
Czytaj też: Nie bójmy się RODO - apeluje Ministerstwo Cyfryzacji.
Ponadto autor wycieku oskarża pracownika Play o handel danymi. Twierdzi, że "w wyniku prowokacji kupił je za 2000 zł". Na ten moment nie ma żadnych dowodów na to, że ktokolwiek z pracujących w Play rzeczywiście sprzedał dane klientów. Ponadto osoba oskarżana o kradzież nie jest zatrudniona przez sieć Play.
Play bada sprawę i zawiadamia służby
Sieć podeszła do kwestii wycieku zgodnie ze standardami narzuconymi przez RODO. Po pierwsze, wyciekiem zajęła się jeszcze zanim sprawę opisał serwis Zaufana Trzecia Strona - zadziałał zapewne prowadzony w sieci monitoring. Po drugie o sprawie został poinformowany Urzędu Ochrony Danych Osobowych (następcy GIODO).
Publikowanie w sieci wrażliwych danych nie jest raczej dobrym sposobem na poprawę podejścia do kwestii bezpieczeństwa. Przeciętni internauci pozostają często obojętni na znacznie poważniejsze sygnały, co wykorzystują oszuści, korzystając z coraz bardziej dotkliwych i spektakularnych metod ataków - np. z wykorzystaniem ransomware.
Autor wycieku twierdzi, że chce pomóc, a tymczasem wyrządził realną szkodę tysiącom osób. Poszkodowani nie muszą zamawiać usług monitorującą zaciąganie zobowiązań finansowych - w wycieku nie znalazły się bowiem ani numery PESEL ani seria i numer dowodu osobistego.
Zwróciliśmy się do Play z prośbą o komentarz w tej sprawie. Marcin Gruszka, rzecznik firmy, potwierdził incydent, zapewnił też, że sieć "czynnie pomaga wyjaśnić jak doszło do wycieku".
***
