Dane kilkunastu tysięcy klientów sieci Play trafiły do sieci. "Działanie z pobudek osobistych" [AKTUALIZACJA]

Robert Kędzierski
Nieznany sprawca opublikował w sieci bazę zawierającą dane kilkunastu tysięcy klientów Play. Wszystko wskazuje na to, że zaatakowano jeden z salonów sieci. Włamywacz w dość pokrętny sposób usprawiedliwia swoje działanie.

Aktualizacja

Marcin Gruszka, rzecznik Play, przekazał nam nowe informacje w sprawie wycieku. Po dokładnej analizie okazało się, że do internetu nie wyciekł żaden numer PESEL. W bazie, która wyciekła znajdowała się pozycja opisana jako NIP/PESEL jednak w większości była pusta. Jeśli już zawierała jakieś dane to numery NIP, które w przypadku przedsiębiorców są powszechnie dostępne.

Oznacza to, że wyciek z Play ma znacznie mniejszą rangę i nie jest tak groźny dla poszkodowanych jak początkowo zakładano. 

****

Za pośrednictwem serwisu Wykop.pl nieznany sprawca opublikował link do bazy zawierającej dane kilkunastu tysięcy klientów Play. Analiza, której dokonali eksperci z Zaufanej Trzeciej Strony wyjaśnia, że mamy w tym wypadku do czynienia z informacjami pochodzącymi z jednego salonu sieci w Piekarach Śląskich.

Co zawiera baza? Komplet danych osobowych: imię, nazwisko, adres domowy, adres e-mail oraz numer NIP - donosi ZTS. Nie ma mowy o ataku na całą sieć Play, są jednak powody do niepokoju. Autor ataku zapowiada bowiem kolejne działania.

Sprawca wycieku zamierza sukcesywnie udostępniać dane różnych instytucji, które powinny dbać o bezpieczeństwo IT, a ich pracownicy używają służbowych komputerów do prywatnych rozmów i otwierania załączników niewiadomego pochodzenia, czatowania i oglądania filmów porno.

- wyjaśnia serwis "Zaufana Trzecia Strona"

Dodaje, że publikujący dane działa z pobudek osobistych. Chce, by "w branży IT w Polsce specjaliści zarabiali normalne pieniądze i byli doceniani". Atak na salon Play miałby być więc ostrzeżeniem - zacznijcie traktować bezpieczeństwo poważnie. 

Czytaj też: Nie bójmy się RODO - apeluje Ministerstwo Cyfryzacji. 

Ponadto autor wycieku oskarża pracownika Play o handel danymi. Twierdzi, że "w wyniku prowokacji kupił je za 2000 zł". Na ten moment nie ma żadnych dowodów na to, że ktokolwiek z pracujących w Play rzeczywiście sprzedał dane klientów. Ponadto osoba oskarżana o kradzież nie jest zatrudniona przez sieć Play. 

Play bada sprawę i zawiadamia służby

Sieć podeszła do kwestii wycieku zgodnie ze standardami narzuconymi przez RODO. Po pierwsze, wyciekiem zajęła się jeszcze zanim sprawę opisał serwis Zaufana Trzecia Strona - zadziałał zapewne prowadzony w sieci monitoring. Po drugie o sprawie został poinformowany Urzędu Ochrony Danych Osobowych (następcy GIODO). 

Publikowanie w sieci wrażliwych danych nie jest raczej dobrym sposobem na poprawę podejścia do kwestii bezpieczeństwa. Przeciętni internauci pozostają często obojętni na znacznie poważniejsze sygnały, co wykorzystują oszuści, korzystając z coraz bardziej dotkliwych i spektakularnych metod ataków - np. z wykorzystaniem ransomware.

Autor wycieku twierdzi, że chce pomóc, a tymczasem wyrządził realną szkodę tysiącom osób. Poszkodowani nie muszą zamawiać usług monitorującą zaciąganie zobowiązań finansowych - w wycieku nie znalazły się bowiem ani numery PESEL ani seria i numer dowodu osobistego.

Zwróciliśmy się do Play z prośbą o komentarz w tej sprawie. Marcin Gruszka, rzecznik firmy, potwierdził incydent, zapewnił też, że  sieć "czynnie pomaga wyjaśnić jak doszło do wycieku". 

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o: