Home > Wiadomości > Wyciek danych osobowych z bazy Aero2

Wyciek danych osobowych z bazy Aero2

Logo firmy Aero2Od 17 marca 2018 firma Aero2 zaczęła rozsyłać do swoich klientów emailową informację o nieuprawnionym uzyskaniu dostępu do niektórych danych osobowych części Klientów BDI. Informacja pojawiła się także na stronie operatora. Pełna treść komunikatu poniżej.

Co to oznacza w praktyce? Wygląda na to, że w bliżej nieznany jeszcze sposób z bazy danych Aero2 w niepowołane ręce dostały się dane osobowe klientów usługi bezpłatnej. Jednocześnie zgodnie z wymogami prawa wszyscy potencjalnie poszkodowani zostali niezwłocznie poinformowani o tym fakcie.

Operator informuje o tym, że wśród danych, które mogły wyciec są: imię, nazwisko, dane korespondencyjne, dane adresowe do faktury, e-mail, numer kontaktowy, udzielone zgody biznesowe, numer seryjny karty SIM i kod PUK, jednocześnie operator zapewnia, że NIE WYCIEKŁY dane takie, jak PESEL oraz numer i seria dowodu.

Opis sytuacji

Nie wiadomo na tej podstawie, co dokładnie się wydarzyło – w jaki sposób dane te mogły dostać się w niepowołane ręce i czy dotyczyło to całej bazy danych, czy tylko części. Operator sugeruje, że chodzi jedynie o dane dostępne w panelu Elektronicznego Biura Obsługi Klienta Aero2, a więc klienci, którzy konta tam nie założyli i nie kupowali pakietów płatnych powinni być chronieni. Wiemy tylko o tym, że operator uzyskał informacje o tym problemie 14 marca 2018.

Informacja o wyłączeniu wyświetlania danych osobowych w EBOK sugeruje, że być może tamtędy właśnie te dane mogły być jakoś wyciągane w sposób nieautoryzowany. Choć w całym dokumencie używany jest tryb przypuszczający.

Poza wymaganą prawem informacją w wiadomości są ogólne porady dla klientów takie, jak propozycja zmiany haseł, jeżeli jakieś były tożsame z tymi, które były używane w EBOK Aero2. Wymuszona została także zmiana haseł przy kolejnym logowaniu do EBOK.

Czy to automatycznie oznacza kłopoty dla ludzi, których dane wyciekły? Generalnie szanse na to są niewielkie. Możemy spodziewać się takich samych zagrożeń, jak przy innych tego typu wyciekach: kierowanego personalnie spamu (zawsze sprawdzajmy, czy wiadomość jest faktycznie od operatora, nie klikajmy wszelkich linków – zwłaszcza do logowania się do jakiś systemów bez sprawdzenia URL – i nie uruchamiajmy niespodziewanych załączników).

Wnioski

Operator zachował się odpowiedzialnie i poinformował wszystkich (do których posiadał aktualne adresy email) o zaistniałej sytuacji. Do tej pory nie przypominam sobie, aby jakakolwiek inna instytucja z Polski tego typu powiadomienie przesłała do mnie. Dodatkowo powiadomony został Generalny Inspektor Ochrony Danych Osobowych oraz Zespół reagujący na incydenty sieciowe CERT Polska w NASK.

Z drugiej strony zaufanie do systemów zabezpieczeń własnego rozwiązania EBOKu używanego w Aero2 z pewnością spadnie. Pamiętajmy jednak, że ekspozycja rynkowa marki Aero2 i BDI jest w tej chwili ograniczona, choć jak widać media tę informację podchwyciły natychmiast. Może to położyć się cieniem na zaufaniu do bezpieczeństwa EBOKu używanego w ramach marki a2mobile, która także należy do Aero2, choć jej systemy są całkowicie niezależne do BDI.

Warto przypomnieć, że podejrzenia co do wycieku danych klientów Aero2 wstąpiły w przeszłości w ramach efektu ubocznego ataku na Plus Bank, jednak nie zostało to potwierdzone.

Pełna treść komunikatu email

Szanowni Państwo,

Informujemy, że w dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części Klientów BDI (Bezpłatnego Dostępu do Internetu), która skorzystała z oferty pakietów komercyjnych. Po weryfikacji zgłoszenia i podjęciu przez nas natychmiastowych działań zapobiegawczych pragniemy Państwa zapewnić o bezpieczeństwie danych, których mogło dotyczyć zgłoszenie (imię, nazwisko, dane korespondencyjne, dane adresowe do faktury, e-mail, numer kontaktowy, udzielone zgody biznesowe, numer seryjny karty SIM i kod PUK). Podkreślamy jednocześnie, iż próba nieuprawnionego dostępu nie dotyczyła takich danych, jak: PESEL oraz numer i seria dowodu. Na podstawie uzyskanych dotychczas informacji nie stwierdziliśmy zaistnienia negatywnych skutków próby naruszenia danych osobowych.

Dla zapewnienia najwyższego standardu bezpieczeństwa danych naszych Klientów i realizacji działań profilaktycznych, podjęliśmy natychmiast po otrzymaniu zgłoszenia w dniu 14 marca 2018 r. następujące działania:

  1. Na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenia, które mają na celu uniemożliwianie potencjalnych prób naruszenia dostępu do danych osobowych.
  2. Czasowo zablokowano możliwości wyświetlania danych osobowych Klientów sklepu Pakiety Aero na koncie po zalogowaniu.
  3. Czasowo zablokowano dostęp do Elektronicznego Biura Obsługi Klienta Aero2, jednakże Klienci mieli możliwość dokonania zakupu pakietów poprzez sklep internetowy Aero2 (działający pod linkiem: https://sklep.aero2.pl ).

Poza działaniami wskazanymi powyżej Aero2 w dniu 15 marca 2018 r. zawiadomiło w tej sprawie Generalnego Inspektora Ochrony Danych Osobowych i złożyło zawiadomienie o możliwości popełnienia przestępstwa.

Ponadto Aero2 rekomenduje:

  • Zweryfikowanie wszystkich loginów i haseł, jakimi się Państwo posługują – z punktu widzenia bezpieczeństwa najlepiej jest używać innych identyfikatorów i haseł w serwisach internetowych i systemach komputerowych.
  • Zmianę hasła stosowanego w kontaktach z Aero2 – warto zadbać, by było odpowiednio silne.
  • Nie odpowiadać na maile spamerów ani nieznanych osób i instytucji.
  • Zawiadomić organy ścigania w przypadku uzyskania informacji o bezprawnym posłużeniu się danymi osobowymi przez podmiot nieuprawniony lub przesłać tego rodzaju zgłoszenie do Aero2 (adres poniżej).

W trosce o bezpieczeństwo Państwa danych wprowadziliśmy dodatkowe działanie ochronne, polegające na konieczności zresetowania Państwa dotychczasowego hasła w Elektronicznym Biurze Obsługi Klienta Aero2 w czasie najbliższego logowania. Jeżeli po zakończeniu przerwy technicznej nie korzystali jeszcze Państwo z serwisu, zachęcamy do zalogowania się i ustanowienia nowego hasła na stronie https://moje.aero2.pl

W przypadku pytań prosimy o kontakt drogą elektroniczną na adres: bok@aero2.pl

Pełna informacja na stronie operatora

Informacja o bezpieczeństwie danych osobowych klientów BDI Aero2 

Informujemy, że w dniu 14 marca 2018 r. otrzymaliśmy zgłoszenie, iż mogło nastąpić nieuprawnione uzyskanie dostępu do niektórych danych osobowych części klientów usługi Bezpłatnego Dostępu do Internetu. Po weryfikacji zgłoszenia podjęliśmy natychmiastowe działania zapobiegawcze. Po ich zastosowaniu możemy zapewnić, że dane i systemy BDI są bezpieczne. 

Dla zapewnienia najwyższego standardu bezpieczeństwa danych klientów podjęliśmy natychmiast odpowiednie działania profilaktyczne i ochronne, w tym m.in. na stronie Elektronicznego Biura Obsługi Klienta Aero2 wprowadzono dodatkowe zabezpieczenie, które uniemożliwiło ewentualne bezprawne pobieranie danych osobowych klientów, czasowo zablokowano możliwości wyświetlania danych osobowych klientów sklepu Pakiety Aero na koncie po zalogowaniu oraz czasowo zablokowano dostęp do Elektronicznego Biura Obsługi Klienta Aero2 (klienci mieli możliwość dokonania zakupu pakietów poprzez sklep internetowy Aero2 działający pod linkiem: www.sklep.aero2.pl). Obecnie wszystkie serwisy są już aktywne. Podkreślamy również, iż próba nieuprawnionego dostępu nie dotyczyła takich danych, jak: PESEL oraz numer i seria dowodu.

Tego typu nieuprawnione działania są obecnie, niestety, naturalnym elementem świata technologii, a wiele firm i instytucji w Polsce było celem podobnego ataku. To, co dla nas było priorytetem, to likwidacja ingerencji i zabezpieczenie systemów, a następnie zapewnienie wszystkim użytkownikom BDI możliwości bezpiecznego korzystania z ich konta w Elektronicznym Biurze Obsługi Klienta Aero2. Tak też zrobiliśmy – uznaliśmy, że najważniejsze jest podjęcie działań zabezpieczających i bezpieczeństwo danych użytkowników. Wykryliśmy nieuprawnione działanie, podjęliśmy działania zabezpieczające i gwarantujące bezpieczne korzystanie z kont obsługi klienta.

Informujemy, że Aero2 w dniu 15 marca 2018 r. zawiadomiło w tej sprawie Generalnego Inspektora Ochrony Danych Osobowych i złożyło zawiadomienie o możliwości popełnienia przestępstwa oraz pozostaje w pełni do dyspozycji właściwych służb w zakresie udzielania dodatkowych informacji o zaistniałej sytuacji. Ze względu na teleinformatyczny charakter możliwego naruszenia dostępu do danych osobowych dokonaliśmy w dn. 17.03. br, również zgłoszenia incydentu do zespołu reagującego na incydenty sieciowe CERT Polska w NASK, co pozwoli w razie zidentyfikowanej konieczności podjąć odpowiednie działania profilaktyczne, służące bezpieczeństwu innych systemów teleinformatycznych w sieci oraz użytkowników.

Dodatkowo informujemy, że Aero2 skierowało drogą elektroniczną do wszystkich klientów, których mogła dotyczyć próba uzyskania dostępu do danych, stosowne informacje o podjętych działaniach i rekomendacje na rzecz lepszej ochrony danych, takie jak: zalecenie weryfikacji loginów i haseł w naszych serwisach. Klienci, którzy otrzymali od nas wiadomość drogą elektroniczną, zostali również powiadomieni o możliwości uzyskiwania wszelkich dodatkowych informacji za pośrednictwem naszego Biura Obsługi Klienta.

Źródło: email od operatora oraz strona operatora.

Kategorie:Wiadomości
  1. Andrzej
    Kwiecień 18th, 2018 at 17:23 | #1

    Witam mam problem, otóż modem Vodafone Mobile Broadband K3765-Z z kartą BDI Aero2 nie wpuszcza mnie do sieci, próbuję nawiązać połączenie, ale zaraz jest przerywane (sprawdzone na PC i laptopie, problem jest identyczny), natomiast bez problemu łączę się po przełożeniu karty do smartfona. Gdy włożę kartę z sieci Plus z numerem telefonu do modemu, to również nawiązuję połączenie. Mam wszystko ustawione jak się należy: na smartfonie i obu komputerach apn darmowy. Wszystko było dobrze do 16 kwietnia br. Odinstalowywałem oprogramowanie blueconnect, usuwałem i zapisywałem na nowo konfigurację. Sygnał sieci jest, ale cały czas widnieje UMTS i myślę, że to on jest przyczyną odrzucenia połączenia.

Strony komentarza
1 2 5616
  1. Brak jeszcze trackbacków
Musisz być zalogowany aby dodać komentarz.
>