Netia odpowiada na doniesienia o wycieku danych klientów

14 stycznia 2013 0 przez Marcin Kaczmarek

W związku z tym, że w serwisie Polish Board & Market wystawiono na sprzedaż bazę
danych klientów Netii, żądając 500 bitcoins (ok. 22 tys. zł) "okupu", operator
przekazał oficjalne oświadczenie w tej sprawie. Niestety, do czasu jej wyjaśnienia klienci nie mogą być pewni co do bezpieczeństwa swoich danych (i do
tego, jak zostaną użyte), muszą też liczyć się z utrudnieniami w dostępne do infolinii.

Netia przyznaje, że "na podstawie dostępnych informacji, upublicznione rekordy zawierają dane związane
z 540 kontami abonenckimi". Według firmy, konta zostały niezwłocznie
zabezpieczone, ale osoba, która je wystawiła twierdzi, że dysponuje całą bazą
klientów. Wg Netii, kontrola zabezpieczeń baz danych wykazała, że "są one w
pełni zabezpieczone przed nieuprawnionym dostępem z zewnątrz (…) zgodnie z
najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i
technologii".

Według serwisu Niebezpiecznik.pl, który
poinformował o wycieku, w sieci operatora doszło do włamania i kradzieży
danych. Natomiast Netia zajmuje inne stanowisko, podejrzewając, że źródłem było
nielegalne działanie osoby posiadającej dostęp do baz danych.

Do czasu ostatecznego wyjaśnienia sprawy Netia proponuje klientom zmianę
czterocyfrowego kodu PIN w systemie Netia on-line. Nie jest to jednak skuteczne
rozwiązanie, bo nieuprawnione osoby dysponujące wszystkimi danymi klientów mogą
zmienić PIN przez infolinię. Dlatego Netia wyłączyła też automatyczną
identyfikacja klientów poprzez PIN w systemie obsługi telefonicznej, a
konsultanci weryfikują tożsamość klientów w oparciu o bardziej szczegółowe
dane.

Aktualizacja: w odniesieniu do najnowszych informacji dotyczących wycieku danych, Netia w oświadczeniu pisze: "Wiązanie informacji PAP z lipca 2011 roku (…) dotyczącej włamania do bazy danych z ostatnim wyciekiem danych (…) jest bezpodstawne. Takie zdarzenie miało miejsce w czerwcu 2011 roku, ale nie dotyczyło firmy Netia S.A., a pewnej małej spółki, która została przez nas kupiona. Włamano się na serwer archiwalny tej spółki, który nigdy nie był podłączony do sieci korporacyjnej Netii (nie był objęty standardami bezpieczeństwa obowiązującymi w Grupie Netia). Wykradziona wtedy baza danych została odzyskana i zabezpieczona, a sprawcy ujęci przez Policję i skazani prawomocnym wyrokiem sądu. Oświadczamy, iż ujawniane obecnie rekordy, dotyczące kont abonenckich nie są danymi, które zostały odzyskane po włamaniu z 2011 roku."

W związku z obecną sprawą firma informuje, że "ujawniane przez szantażystę rekordy znacznie zawężają źródło ich pochodzenia. Ustalenie sprawcy – w naszej ocenie – powinno być tylko kwestią czasu". Jasno stawia sprawę okupu: "Netia nie zamierza negocjować z szantażystą, ani tym bardziej, płacić mu żadnego okupu, w żadnej walucie".


Źródło: Netia