Baza z ponad 3 mln rekordów zawierająca m.in. PESELE i numery dowodów została w wyniku błędu udostepniona publicznie przez firmę Fortum. Klienci tego dostawcy energii mają dobre powody by podjąć działania zabezpieczające.

Kolejne znalezisko Boba

Bardzo byśmy chcieli nie pisać dziś o odkryciach Boba Diachenko, ale niestety musimy. Tutaj przypomnimy, że Diachenko odkrył kiedyś wyciek z MoneyMan.pl i namierzył również bazę dotyczącą 267 mln kont z Facebooku, o której dziś pisaliśmy. Chcąc nie chcąc znów musimy wspomnieć o Bobie.

Diachenko poinformował, że 16 kwietnia natrafił na publicznie dostępny i niechroniony klaster Elasticsearch zawierający 3.376.912 rekordów z następującymi danymi:

imię,

nazwisko,

adres

telefon

PESEL

informacje o umowie (numer umowy, roczny pobór energii itd.).

Wyciekły również numery dowodów osobistych, ale o tym za chwilę.

Wyciek z Fortum

Dane dotyczą klientów firmy Fortum, która dostarcza na całym świecie energię elektryczną, ciepło, a także “inteligentne rozwiązania, pozwalające na bardziej efektywne wykorzystanie zasobów”. Działalność w Polsce firma rozpoczęła w 2003 roku. Ma trzy elektrociepłownie i ponad 800 km sieci ciepłowniczych. Od roku 2016 sprzedaje energię elektryczną i gaz. Obsługuje klientów indywidualnych i firmy.

Łączna liczba rekordów w bazie nie odpowiada dokładnie liczbie ludzi, których dotknął wyciek ponieważ niektóre osoby miały po kilka podpisanych umów (np. na gaz, ciepło, prąd). Diachenko uważa, że wyciek mógł objąć wszystkich klientów firmy.

Na szczęście w tym przypadku firma działała dość szybko. W wyszukiwarce Shodan adres IP został zindeksowany 15 kwietnia. Diachenko zareagował dzień później wysyłając powiadomienie do Fortum, a firma zabezpieczyła dostęp do bazy w ciągu 24 godzin. Z oświadczenia Fortum cytowanego przez Boba Diachenko wynika, że firma powiadomiła biuro UODO natomiast nie wynikało z niego, czy o wycieku powiadomiono klientów.

W rozmowie z Niebezpiecznikiem Diachenko stwierdził, że niestety istnieje prawdopodobieństwo wykorzystania tej bazy przez osoby, które nie będą miały dobrych zamiarów. Jego zdaniem nawet 24 godziny to okres wystarczająco ryzykowny.

Spytaliśmy też Boba o szczegóły dotyczące ujawnionych w bazie adresów. Dowiedzieliśmy się, że w bazie były m.in. następujące pola powiązane z adresami.

correspondence_address_is_main_address

correspondence_address_city

consumption_point_address_building_number consumption_point_address_postcode

main_address_street

consumption_point_address_postoffice

correspondence_address_building_number

consumption_point_ppe_number

main_address_local_number

main_address_postcode

consumption_point_address_is_main_address

To sugeruje, że w niektórych przypadkach baza ujawnia powiązania między adresami zameldowania i adresami rzeczywistego pobytu.

Fortum informuje klientów

Zwróciliśmy się z dodatkowymi pytaniami do Fortum i czekamy na odpowiedzi. Już po wysłaniu naszych pytań i po ujawnieniu wycieku przez Boba Diachenko na stronie firmy pojawiło się oświadczenie na czerwonym tle.

Treść oświadczenia:

W ubiegłym tygodniu doszło do naruszenia bezpieczeństwa danych osobowych klientów Fortum Marketing and Sales Polska S.A. Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O wycieku powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych. Jesteśmy gotowi do współpracy z władzami, aby w pełni wyjaśnić tę sprawę. Klientów prosimy o zwrócenie szczególnej uwagi na możliwe próby nieuprawnionego użycia danych. Przepraszamy naszych Klientów za wszelkie niedogodności. W przypadku pytań zapraszamy do kontaktu pod specjalnym numerem telefonu 690 678 130 lub adresem e- mail infopolska@fortum.com

Z tego oświadczenia nie wynika aby powiadomiono klientów bezpośrednio (choć z drugiej strony zrobiono to na stronie, co warto pochwalić). Dodano, że wyciekły numery dokumentów, co jest niezwykle ważne.

Diachenko przyznał w rozmowie z nami, że widział w bazie numery dowodów osobistych, ale nie w każdym rekordzie. Natomiast każdy rekord miał PESEL.

Co robić? Jak żyć?

Jeśli jesteś klientem Fortum powinieneś jak najszybciej unieważnić dowód. Możesz to zrobić przez obywatel.gov.pl.

Warto też wykonać jeszcze kilkanaście (!) innych kroków, które do najprostszych nie należą — zwłaszcza, że często ofiarom wycieków radzi się skorzystanie z usług, nazwijmy to “zbytnio nie pomoagających”, a płatnych. Temat jest niestety złożony.

Dlatego to co warto, a czego nie warto robić po wycieku naszych danych zebraliśmy w formie praktycznego, godzinnego webinara. Możecie wykupić do niego miesięczny dostęp pod tym adresem



Zobacz zapis godzinnego webinara, który poświęcony jest w całości tematyce wycieku danych Polaków. Dowiedz się jak się uchronić przed wyciekami oraz jak sprawdzać, czy coś na Twój temat już wyciekło. Z materiału dowiesz się też co robić krok-po-kroku jeśli Twoje dane wyciekły (zarówno z Twojej winy jak i winy jakiejś firmy, której byłeś klientem). Materiał adresuje także kwestię tego, kiedy mamy szansę na odszkodowanie oraz pokazuje przydatne darmowe narzędzia i usługi. Kliknij tutaj, aby wykupić dostęp do nagrania! Zobacz zapis godzinnego webinara, który poświęcony jest w całości tematyce wycieku danych Polaków. Dowiedz się jak się uchronić przed wyciekami oraz jak sprawdzać, czy coś na Twój temat już wyciekło. Z materiału dowiesz się też co robić krok-po-kroku jeśli Twoje dane wyciekły (zarówno z Twojej winy jak i winy jakiejś firmy, której byłeś klientem). Materiał adresuje także kwestię tego, kiedy mamy szansę na odszkodowanie oraz pokazuje przydatne darmowe narzędzia i usługi. Kliknij tutaj, aby wykupić dostęp do nagrania!

Rzecznik prasowy Fortum Jacek Ławrecki przesłał do nas dodatkowo poniższe oświadczenie.

Wyciek nastąpił z serwera jednego z naszych dostawców. Na serwerze była przechowywana baza danych klientów Fortum Marketing and Sales. Natychmiast po uzyskaniu informacji o możliwości wycieku, zablokowaliśmy dostęp do danych. Pracujemy nad poprawieniem usługi a dostawca w pełni wyraża gotowość do współpracy z nami, żeby nie powtórzyła się taka sytuacja. Problem dotyczy klientów Fortum Marketing and Sales, zarówno osób indywidualnych, jak i przedsiębiorstw, którzy mają umowy na sprzedaż energii elektrycznej lub gazu. Problem nie dotyczy klientów innych spółek grupy Fortum (np. mających umowy na dostawę ciepła), chyba że jednocześnie byli klientami Fortum Marketing and Sales.

Wyciek zostanie zbadany przez Urząd Ochrony Danych Osobowych. Postępowanie administracyjne w sprawie możliwego naruszenia przepisów zostało wszczęte z urzędu.

W ramach uruchomionego teraz postępowania prezes UODO wezwał Fortum do przedstawienia szczegółowych informacji związanych z naruszeniem ochrony danych osobowych, w tym okoliczności naruszenia oraz kategorii danych osób, których dotyczy naruszenie. Urząd przypomniał, że wdrożenie odpowiednich środków nie może być działaniem jednorazowym, a powinny one być na bieżąco aktualizowane.

Niezależnie od wszczętego postępowania administracyjnego Prezes UODO skierował do Spółki wystąpienie o podjęcie działań mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Ze złożonego zgłoszenia naruszenia ochrony danych wynikało bowiem, że Spółka nie powiadomiła tych osób o naruszeniu.

Tak naprawdę Fortum informowała o naruszeniu. Wspominaliśmy w artykule, że firma zamieściła komunikat na swojej stronie. Ponadto Czytelnicy informowali nas, że ich bliscy otrzymywali pocztą pisma z powiadomieniem o wycieku

Przeczytaj także: