Wyciek danych osobowych w Poznaniu. UODO będzie analizować sprawę

Urząd Ochrony Danych Osobowych przyjął w środę zgłoszenie Urzędu Miasta Poznania w sprawie naruszenia ochrony danych. Rzecznik prasowy UODO Adam Sanocki przekazał, że sprawa jest analizowana.

Urząd miasta w Poznaniu
Mister No, CC BY 3.0 <https://creativecommons.org/licenses/by/3.0>, via Wikimedia Commons

We wtorek poznański magistrat poinformował o naruszeniu bezpieczeństwa u dostawcy usług SMS. Chodziło o usługę wysyłki na wskazane przez klientów numery komunikatów np. w związku z rezerwacją wizyt w urzędzie, czy powiadomieniem o odbiorze dokumentów.

Miasto podało, że w bazie danych, do której dostęp uzyskali cyberprzestępcy znajdowały się numery telefonów około 30 tys. osób oraz treści urzędowych komunikatów, które nie zawierały danych osobowych. Rzecznik prasowy UODO podkreślił, że "istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową".

Dyrektor zarządzający SerwerSMS Daniel Zawiliński poinformował, że 19 kwietnia potwierdzone zostało, że w systemie miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych klientów biznesowych. - "W wyniku tego ataku nie stwierdziliśmy uzyskania dostępu do kont naszych klientów" - podał. Miasto poinformowało w środę, że pracownik Urzędu Miasta Poznania otrzymał zawiadomienie o incydencie 20 kwietnia.

Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP Michał Łakomski pytany przez PAP o to, dlaczego informacja do mieszkańców o incydencie została przekazana 25 kwietnia, podkreślił, że komunikat o zdarzeniu został przesłany do mieszkańców "niezwłocznie po uzyskaniu niezbędnych informacji w sprawie".

- "Dokonano weryfikacji prawdziwości informacji o naruszeniu oraz ustalono faktyczny zakres danych, które zostały naruszone. Od dostawcy usługi oraz wydziałów UMP zebrano informacje techniczne mające wpływ na okoliczności wystąpienia incydentu. Ponadto przygotowano i zweryfikowano listę dystrybucyjną odbiorców informacyjnego SMS-a o incydencie oraz opracowano treść i formę komunikatu dla mieszkańców, których dane zostały udostępnione" - podał.

Jak zaznaczył dopiero po zebraniu wyjaśnień w sprawie możliwe było zawiadomienie mieszkańców i udzielenie wiarygodnych, rzetelnych informacji.

- "Uzyskaliśmy również oświadczenie dostawcy usługi, że wykorzystana do przeprowadzenia ataku podatność w systemie została zidentyfikowana i usunięta. Platforma SMS jest stale monitorowana pod kątem wszelkiej podejrzanej aktywności. W ramach czynności mających na celu zminimalizowanie skutków naruszenia monitorujemy działania podjęte przez dostawcę usługi, który dokonał wymuszenia zmiany haseł przez użytkowników platformy, ograniczył możliwość logowania z nieautoryzowanych numerów IP, zabezpieczył klucze API, zresetował dostępy do całej infrastruktury i wdrożył dodatkowe algorytmy zabezpieczające" – przekazał Michał Łakomski.

Przedstawiciel miasta poinformował, że decyzja o podjęciu ewentualnych kroków prawnych względem dostawcy usługi będzie zależna od wyniku prowadzonego postępowania w sprawie.

Rzecznik prasowy UODO Adam Sanocki poinformował PAP, że w środę z Urzędu Miasta Poznania wpłynęło zgłoszenie naruszenia ochrony danych. "Sprawa jest obecnie analizowana, a ewentualne dalsze działania będą podejmowane po zbadaniu jej wszelkich okoliczności" - powiedział.

- "Z opisu sprawy wynika, że dotyczy ona numerów telefonów. Istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową. Choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO" - poinformował.

- "Nie ma znaczenia, czy ktoś posiada imię i nazwisko właściciela numeru. Wystarczy zadzwonić, żeby ustalić, z kim się rozmawia. Warto też nadmienić, że numer telefonu należący do osoby fizycznej jest zawsze przypisany do konkretnej osoby, gdyż to ona podpisuje umowę, ona się nim posługuje, z nią można się skontaktować dzwoniąc na ten numer i to ona (w założeniu i najczęściej) z niego korzysta" – wyjaśnił rzecznik UODO.

Rzecznik poinformował też, że w przypadkach, gdy istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych administrator o sytuacji poinformował również osoby, których te dane dotyczą. Wyjaśnił, że takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP przyznał, że skradzione numery telefonów mogą zostać wykorzystane przez sprawców ataku hakerskiego m.in. do ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.

Polska Agencja Prasowa zapytała firmę, u której wystąpił incydent, o to, czy ma wiedzę, co się stało z przejętymi danymi klientów UMP. Dyrektor zarządzający SerwerSMS Daniel Zawiliński w przesłanym PAP oświadczeniu poinformował, że w związku z toczącymi się działaniami służb na ten moment nie może podawać więcej szczegółów dotyczących zdarzenia.

 



Źródło: pap Niezalezna.pl

 

as
Wczytuję ocenę...
Komentarze (12)
ogonkota 27.04.2023 09:04
Nie czarujmy się, dane osobowe wszystkich Polaków są od dawna dostępne na całym świecie. Wpuściliśmy na rynek obce firmy ubezpieczeniowe, banki, oddaliśmy za darmo najlepsze srebra rodowe(cały przemysł) we władanie obcokrajowcom, więc po co te łzy krokodylowe. Wszystkie wywiady świata mają nasze pesele i inne duperele.
Anonim 27.04.2023 06:41
No i co im zrobicie? Naplujecie na buty?
Anonim 26.04.2023 22:03
nie tak dawno zidentyfikowano w warszawskim wydziale stanu cywilnego ruSSkiego szpiona co to miał dostęp do aktów urodzenia zgonu i uwiarygadniał dane osobowe swoich kolegów oraz instalował ich w ważnych dla ruSSkich strategicznych punktach Polski...
Anonim 26.04.2023 21:48
Banda pedofili Jaśkowiaka rujnuje Poznań
POZNANIAK 27.04.2023 08:08
Nigdy o nich nie słyszałem. Masz konkretne dane to do prokuratora, albo do lekarza. Polecam Tworki.
Zobacz wszystkie »
Zobacz więcej
Niezależna TOP 10
Wideo