Wyciek danych Virgin Mobile: hakerzy wykradli informacje o klientach pre-paid

27 grudnia 201927 grudnia 2019 Marcin Kaczmarek bezpieczeństwo, dane osobowe, haker, Virgin Mobile, wyciek danych

Wyciek danych Virgin Mobile dotyczy około 12% klientów operatora korzystających z usług przedpłaconych. Hakerom udało się wykraść informacje z aplikacji służącej do rejestrowania kart SIM.

Wyciek danych Virgin Mobile został wykryty 22 grudnia 2019 roku. Operator błyskawicznie wyłączył aplikację umożliwiającą wprowadzanie danych osobowych klientów, niezbędną do wymaganej prawem rejestracji numerów pre-paid, i przystąpił do szacowania rozmiarów i konsekwencji ataku.

Jak się okazało, wyciek danych Virgin Mobile dotyczy 12,5% klientów operatora. Wirtualna sieć komórkowa działająca na infrastrukturze Play zaczęła powiadamiać dotkniętych atakiem klientów, złożono także odpowiednie zawiadomienia do UODO.

Wyniki przeprowadzonego dochodzenia wykazały, że hakerzy mieli dostęp do danych klientów pre-paid operatora przez 4 dni.

Virgin Mobile Polska z przykrością informuje, iż w dniach 18-22.12.2019 roku doszło do ataku hakerskiego na jedną z aplikacji informatycznych naszej Spółki, która umożliwiała dostęp do danych rejestrowych. W wyniku zamierzonego, umyślnego ataku, doszło do nieuprawnionego ujawnienia danych rejestrowych (zbieranych na podst. art. 60 b ustawy prawo telekomunikacyjne) tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Spółki. Dotyczy to 12,5% rejestracji abonentów prepaid dokonanych przez Spółkę Atak hakerski nie dotyczy abonentów Virgin Mobile Polska korzystających z oferty abonamentowej, którzy nie dokonywali rejestracji prepaid.

Wyciek danych Virgin Mobile: co robić?

Operator zapewnia, że natychmiast podjął kroki mające zabezpieczyć dotkniętych atakiem klientów.

Virgin Mobile Polska niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami, złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO, złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania. Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami. Abonenci, których dane były celem ataku są informowani o zaistniałym incydencie.

Wyciek danych Virgin Mobile oznacza, że klienci pre-paid powinni poważnie zastanowić się nad wymianą dowodu osobistego oraz zablokowaniem starego numeru w jakimkolwiek banku. Dane osobowe, które dostały się w ręce przestępców, mogą być bowiem wykorzystane na przykład do zaciągnięcia pożyczki, którą potem spłacać będzie musiała osoba dotknięta atakiem.

Najszybszym sposobem na wyrobienie nowego dowodu jest skorzystanie z platformy obywatel.gov.pl i wygenerowanie odpowiedniego wniosku przez internet.