[VIRGIN Mobile] Wyciek danych osobowych klientów

[molibden]

Porażka. Dodzwonić się nie można, na maile czekam od wczoraj.. Dalej nie wiem co wypłynęło. Ja sobie dam radę, ale mam problem z tym że dwa numery były poprzednio przypisane do ojca. Tzn ja ich nie rejestrowałem przed 2016 bo takiego obowiązku nie było tylko zostały przeniesione jako zarejstrowane w NJU . Od 2 czy 3 lat wszystko jest na mnie. Nie chciałbym żeby wypłynął nr dowodu ojca.
A przenoszenie się z Virgin to raczej wyraz wściekłości czy protestu. Okradzionego nie ma z czego okradać. Też mnie szlag trafia, ale co te przenosiny zmienią? bardziej mnie wyprowadza z nerwów to jak oni ogarniają całą sprawę . Jak firma-krzak. Wielka pani menedżer brylująca w mediach gdy sa sukcesy nagle zapadła się pod ziemie jak jest wtopa a klienci zostawieni samym sobie. Super. Po prostu super.

[Remington]

Skoro przenosiłeś to wtedy dane im podałeś, więc mogły być w jakiejś starej bazie. Najgorsze, że nie wiemy co i z jakiego okresu wyciekło, choć z moich obserwacji to dane już z nowej obowiązkowej rejestracji. Nie wiemy też czy był to mega włam do baz danych i przełamanie zabezpieczeń, czy też ktoś miał zrzut na komputerze, na który wpuścił robaka, bo otworzył fałszywą fakturę z maila.

Uważam ucieczki teraz za krok zrozumiały, ale mało racjonalny. Mleko się rozlało, a Virgin nauczy się odporności przynajmniej na taki sposób ataku. Inni wiedzy tej nie mają. Łudzić się, że gdzie indziej jest bezpieczniej i innych operatorów nie atakują, nie można.

[molibden]

Poszperałem w siei i tych wycieków była cała masa - łącznie z firmami typu TM czy Play. Jednak nie znalazłem info aby wypływały nr dowodów. Pewnie w ogóle o tym nie informowano jeśli takie coś się zdarzyło. W Niebezpieczniku piszą coś o tym że to dotyczy aplikacji do rejestrowania numerów w POS. Nie znam się na tym , ale moje numery nie były rejestrowane przez POS i wypadły.
edit
https://mvno-gsm.pl/wielomilionowe-stra ... 2018-roku/
Wobec danych w powyższym artykule to przenosiny i tak będą nieuniknione. Firma z takim bilansem musi ograniczać wydatki i ten wyciek zapewne jest tego rezultatem. Za chwilę z VM zostanie wydmuszka

A pamięta ktoś może w jaki sposób można było dokonać 'przepisania' numeru na siebie? Nie mogę sobie przypomnieć. Pamiętam tylko że przed tą masową rejestracją już miałem wszystko połączone z jednym peselem ale nie pamiętam jak się to robiło

[babciagienia1p]

A pamięta ktoś może w jaki sposób można było dokonać 'przepisania' numeru na siebie? Nie mogę sobie przypomnieć.

Według mnie tylko w formie cesji. Obojętnie czy cesja od osoby fizycznej czy od firmy. W 2017 roku dokumenty do cesji w T-Mobile i Orange były z kompletem danych (Pesel + numer DO).

[areksz]

a tu o spyfonach :
https://zaufanatrzeciastrona.pl/post/za ... -sieciach/

[molibden]

Ja nie pamiętam żadnej cesji. Nie pamiętam w jaki sposób wszystkie trzy numery spiąłem pod jeden pesel, ale to nie było żadną trudnością i nie robiłem żadnej cesji. Chyba najpierw podpiąłem do jednego konta klienta a potem jakoś zmieniłem właściciela. To było przed 2017r. BYć może w panelach poszczególnych numerów (klientów) była możliwość zrobienia takiej 'cesji' jednym kliknięciem po prostu. A potem była tylko już tylko rejestracja 'antyterrorystyczna'. Z tego co jestem sobie w stanie przypomnieć to przyszły esemesy na każdy numer z numerem pesel i możliwością potwierdzenia.

[babciagienia1p]

Nie wiemy też czy był to mega włam do baz danych i przełamanie zabezpieczeń, czy też ktoś miał zrzut na komputerze, na który wpuścił robaka, bo otworzył fałszywą fakturę z maila.

Według Macieja Sobocińskiego - managera IT w Virgin - włamanie nastąpiło przez system rejestracji POS (w punktach sprzedaży detalicznej). Czyżby ktoś się podpiął i buszował w systemie Virgin przez parę dni ... ?

-----Edit----------
Przecież system rejestracji powinien działać tylko w jedną stronę. Ewentualnie ze zwrotką potwierdzającą zarejestrowanie. Dziwne ... .

[pantin]

Ja nie pamiętam żadnej cesji. Nie pamiętam w jaki sposób wszystkie trzy numery spiąłem pod jeden pesel, ale to nie było żadną trudnością i nie robiłem żadnej cesji. Chyba najpierw podpiąłem do jednego konta klienta a potem jakoś zmieniłem właściciela. To było przed 2017r. BYć może w panelach poszczególnych numerów (klientów) była możliwość zrobienia takiej 'cesji' jednym kliknięciem po prostu. A potem była tylko już tylko rejestracja 'antyterrorystyczna'. Z tego co jestem sobie w stanie przypomnieć to przyszły esemesy na każdy numer z numerem pesel i możliwością potwierdzenia.

Ja wysyłałem maila w marcu 2016 i wyglądało to tak, że dane są czyszczone po przeniesieniu i można było wpisać swoje.

Natomiast w sierpniu 2016 już tylko możliwa była cesja po przeniesieniu.

[jarekt]

@Rem, niebezpiecznik z Virginem trochę bezpośrednio dyskutował na ten temat.

---edit---
Znowu się usunąłeś...

[pipawolowa]

Udało się komuś skutecznie dodzwonić do virgin ?

[molibden]

Ja wysyłałem maila w marcu 2016 i wyglądało to tak, że dane są czyszczone po przeniesieniu i można było wpisać swoje.

No to wynika z tego że prawdopodobnie numeru ojca już nie mieli przed rejestracją i jak wypłynęły to moje, ale żadnej pewności nie ma.

Ja juz nawet nie próbuję tam dzwonić. 24h czekam na odpowiedź mailową. Pocieszające tylko to że nie czytałem nigdzie aby komuś wypłynął nr dowodu. Może dowód wypływał tylko jak ktoś nie rejestrował sie peselem ale to chyba niemożliwe żeby tylko nr dowodu spisywali.

[Remington]

@Rem, niebezpiecznik z Virginem trochę bezpośrednio dyskutował na ten temat.

---edit---
Znowu się usunąłeś...

Tak, znalazłem odpowiedź

Przecież system rejestracji powinien działać tylko w jedną stronę. Ewentualnie ze zwrotką potwierdzającą zarejestrowanie. Dziwne ... .

Nie wiemy czy tylko do tego służył ten system, równie dobrze to mogła być tylko część czegoś większego.

Takie systemy się kupuje, następnie testuje i audytuje pod kątem bezpieczeństwa. Pod audytem podpisuje się wyspecjalizowana firma. Jeśli tak to przebiegło, to sugerowana przez Ciebie odpowiedzialność zarządu, jest żadna - bo dołożyli należytej staranności i skorzystali z fachowców. Ciekawe tylko czy i jak regulują to umowy z audytorem i dostawcą oprogramowania.

Morele ukarano za rażące zaniedbania, np. nie kasowali danych z "usuniętych" kont, hasła dało się odszyfrować itd.

Był też jakiś czas temu włam do Aero2 gdzie wyciekło nawet więcej danych niż teraz. Jak na razie cisza o karze.

[aupol]

Dzwoniłem wczoraj i dziś i łączyło mnie po kilku minutach. Niestety w moim przypadku wypłynął dowód osobisty. Na szczęście był nieaktualny i zastrzeżony bo w międzyczasie go wymieniłem. Numer rejestrowałem chyba przez stronę, na pewno nie przez żaden punkt stacjonarny. Było to dość dawno temu gdy chciałem przenieść nr do innej sieci i nie było jeszcze obowiązku rejestracji.

[babciagienia1p]

Nie wiemy czy tylko do tego służył ten system, równie dobrze to mogła być tylko część czegoś większego.

Jeśli pozwala się na dostęp do czegoś większego w co najmniej kilkunastu tysiącach punktów, z których przeważająca większość, jeśli nie całość, jest prowadzona przez niezależnych, od swoich sieci, ajentów (trzecia łapa), jest to bardzo nierozważne. No i powinno pojawić się pytanie: dlaczego znowu ja?

[Remington]

Kto powiedział o "pozwalaniu na dostęp"? Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach? Wariantów jest tak wiele, że trudno cokolwiek wyrokować. Podatność niewykryta podczas audytu(ów?) to jednak nie jest "pozwalanie".

Nie wiemy co było przyczyną i bez wyników kontroli UODO wszelkie dywagacje są tylko domysłami. Do tego czasu warto wstrzymać się z takimi kategorycznymi stwierdzeniami.

[molibden]

No to juz mam wyjaśnioną sprawę. Wyciekły tylko pesel i nazwisko/imię. Stare dane dowodów prawdopodobnie musiały być wykasowane bo nie ma po nich śladu i wyszły tylko moje bo tak jak pisałem - przepisałem wszystko na siebie min dlatego żeby rodzice potem nie mieli szopek z konsultantami, urzędami i jakimikolwiek problemami natury techniczno-prawnej.
A w sumie to nie wiem czy dobrze rozumuje , ale chyba bezpieczniej jest miec mimo wszystko prepaid niz postpaid bo z tego co wywnioskowałem rejestracja prepaidu to tak naprawdę teraz jest przywiązaniem numeru do Pesel. Dobrze rozumiem? Tam chyba danych samego dokumentu jakim jest dowód nie powinno być w sumie. Z tego co ludzie pisali to rejestrowali się jedynie podając pesel.
Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

[Kryniczanin]

U mnie wyciekł Imię, Nazwisko, PESEL i dowód - nieaktualny od maja 2017 i zastrzeżony w banku wtedy (BZW WBK brał za to 20 pln). U dziadka nic nie wyciekło u dwójki znajomych imię, nazwisko, PESEL.

[babciagienia1p]

Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach?

Na mój lichy rozumek do rejestracji w POS-ie powinno wystarczyć wysłanie kilku rekordów: numer telefonu, numer karty sim (obydwa najlepiej w formie zeskanowanego czytnikiem kodu EAN), imię, nazwisko, Pesel, w ostateczności adres i grzeczne czekanie na zwrotny komunikat - tak/nie. Pewnie jest pole numer dokumentu ze względu na cudzoziemców. Może być nadgorliwie wypełniane. Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne. W razie problemów - telefon na infolinię, albo zarejestrowanie drugiej karty, która jest w POS-ie.

[Kryniczanin]

Co do PESELu:

Niech ktoś powie jak go chronić skoro podaje się go wszędzie:ubezpieczenia, recepty, legitymacje szkolne, świadectwa, u,owy cywilno-prawne i wiele wiele wiele wiele wiele wiele innych...

[Remington]

Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

I dlatego tak istotny jest nr dowodu osobistego. Zawsze jakimś punktem zaczepienia będzie jeśli był on zmyślony i niezgodny z prawdziwym, a na niekorzyść przemawiać będzie gdy nr był prawidłowy. Sprzedawca też powie wtedy, że osoba zgadzała się ze zdjęciem i jedyny dowód na obronę to ekspertyza grafologiczna lub wykazać, że było się tego dnia na drugim końcu świata.

Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne.

Oczywiście, jednak nie wiemy czy nie było podatności pozwalającej na sfałszowanie uprawnień lub ich obejście, na ingerencję w bazę danych i nieuprawniony do niej dostęp itd. Nic nie wiemy.

Co do PESELu:

Niech ktoś powie jak go chronić

Po co chronić. To jak nazwa wskazuje, tylko nr ewidencyjny (nawet tak był podpisany w książeczkowym dowodzie osobistym). Dobry jest o tyle, że unikalny i jednoznacznie wskazuje na konkretną osobę. Wadą jest nie PESEL i jego dostępność, tylko stosowanie prawa, interpretowanie umów bez niepodważalnych dowodów ich prawdziwości itd.