[VIRGIN Mobile] Wyciek danych osobowych klientów

[molibden]

No to juz mam wyjaśnioną sprawę. Wyciekły tylko pesel i nazwisko/imię. Stare dane dowodów prawdopodobnie musiały być wykasowane bo nie ma po nich śladu i wyszły tylko moje bo tak jak pisałem - przepisałem wszystko na siebie min dlatego żeby rodzice potem nie mieli szopek z konsultantami, urzędami i jakimikolwiek problemami natury techniczno-prawnej.
A w sumie to nie wiem czy dobrze rozumuje , ale chyba bezpieczniej jest miec mimo wszystko prepaid niz postpaid bo z tego co wywnioskowałem rejestracja prepaidu to tak naprawdę teraz jest przywiązaniem numeru do Pesel. Dobrze rozumiem? Tam chyba danych samego dokumentu jakim jest dowód nie powinno być w sumie. Z tego co ludzie pisali to rejestrowali się jedynie podając pesel.
Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

[Kryniczanin]

U mnie wyciekł Imię, Nazwisko, PESEL i dowód - nieaktualny od maja 2017 i zastrzeżony w banku wtedy (BZW WBK brał za to 20 pln). U dziadka nic nie wyciekło u dwójki znajomych imię, nazwisko, PESEL.

[babciagienia1p]

Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach?

Na mój lichy rozumek do rejestracji w POS-ie powinno wystarczyć wysłanie kilku rekordów: numer telefonu, numer karty sim (obydwa najlepiej w formie zeskanowanego czytnikiem kodu EAN), imię, nazwisko, Pesel, w ostateczności adres i grzeczne czekanie na zwrotny komunikat - tak/nie. Pewnie jest pole numer dokumentu ze względu na cudzoziemców. Może być nadgorliwie wypełniane. Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne. W razie problemów - telefon na infolinię, albo zarejestrowanie drugiej karty, która jest w POS-ie.

[Kryniczanin]

Co do PESELu:

Niech ktoś powie jak go chronić skoro podaje się go wszędzie:ubezpieczenia, recepty, legitymacje szkolne, świadectwa, u,owy cywilno-prawne i wiele wiele wiele wiele wiele wiele innych...

[Remington]

Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

I dlatego tak istotny jest nr dowodu osobistego. Zawsze jakimś punktem zaczepienia będzie jeśli był on zmyślony i niezgodny z prawdziwym, a na niekorzyść przemawiać będzie gdy nr był prawidłowy. Sprzedawca też powie wtedy, że osoba zgadzała się ze zdjęciem i jedyny dowód na obronę to ekspertyza grafologiczna lub wykazać, że było się tego dnia na drugim końcu świata.

Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne.

Oczywiście, jednak nie wiemy czy nie było podatności pozwalającej na sfałszowanie uprawnień lub ich obejście, na ingerencję w bazę danych i nieuprawniony do niej dostęp itd. Nic nie wiemy.

Co do PESELu:

Niech ktoś powie jak go chronić

Po co chronić. To jak nazwa wskazuje, tylko nr ewidencyjny (nawet tak był podpisany w książeczkowym dowodzie osobistym). Dobry jest o tyle, że unikalny i jednoznacznie wskazuje na konkretną osobę. Wadą jest nie PESEL i jego dostępność, tylko stosowanie prawa, interpretowanie umów bez niepodważalnych dowodów ich prawdziwości itd.

[molibden]

Rozmowa z konsultantem Virgin.
-Dzień dobry, dzwonię bo chciałem się dowiedzieć jakie to dane wyciekły z bazy danych
-A tak... Wyciekły numery pesel....
- To chciałbym wiedzieć co wyciekło w moim przypadku.
- Dobrze, to w celu weryfikacji poproszę podać pesel , imię i nazwisko

Słabe to trochę. Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

[Remington]

Podobno niektórych pytają o sam nr, bez mówienia o danych.

Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

Co w tym nie tak? Żeby zamówić lub zmienić adres trzeba mieć konto w Klubie Virgin, czyli albo znać e-mail i hasło, albo mieć kartę SIM i założyć konto. To jest już jakiś stopień weryfikacji.

[Kryniczanin]

Tak ja tak pytałem, podałem numery i spytałem się co wyciekło. Zapytałem się o pierwszą literkę dowodu. Dzięki temu wiedziałem wszystko.

[asdaf]

Gdy się dodzwoniłem i zapytałem co wyciekło z moich danych? Konsultantka spytała czy chodzi o numer z którego dzwonie? Potwierdziłem i dowiedziałem, że wykradziono imię,nazwisko, nr PESEL. Mojego numeru dowodu nie mają w bazie. Niestety nie wpadłem na myśl aby zapytać czy adres email został skopiowany. Adresy zamieszkania to pewnie też wyciekły?

[asdaf]

Otrzymaliście sms rzekomo od Virgin: "Drogi kliencie, Szczególy dotyczace nieuprawnionego dostepu do systemow Spolki znajdziesz na stronie https:// bit. ly/.... - i niewiem czy dalej podawać czy to nie jest podstęp?
Edit. Zadzwoniłem do operatora. Potwierdzają rozsyłanie smsów. Link podany w smsie prowadzi do strony https://virginmobile.pl/zawiadomienie-o-ataku

[molibden]

tak, dostałem takiego smsa. Nic istotnego. W święta natomiast jak pisałem, złożyłem wniosek w CRIF. Następnego dnia zastrzegłem dowód więc już kwestia numeru potencjalnego upłynnienia nr dowodu z ich strony stała się nieistotna. Jednak intryguje mnie kwestia tego że dziś dostałem maila z potwierdzeniem weryfikacji wniosku. Skoro dostali wniosek z unieważnionym dowodem to na jakiej podstawie przeszedł mój wniosek? W jedną noc - w święta - raczej nie zdążyli sprawdzić tego dowodu. Rano jak sprawdzili dowód powinien być nieważny ergo najprawdopodobniej nie sprawdzają tych skanów które im się przesyła w urzędowej bazie danych.

[Remington]

najprawdopodobniej nie sprawdzają tych skanów które im się przesyła w urzędowej bazie danych.

Że niby w czym? Jedyne gdzie mogliby sprawdzić, to baza MIG DZ, o której pisałem 27 gru 2019, 17:44.

[marcin19883]

Czy u nas również Virgin Mobile, przechowuje hasła użytkowników w postaci nie szyfrowanej. Dowiedziałem się od kogoś, kto miał kiedyś Virgin Mobile za granicą, że emaile potwierdzające z hasłami przychodziły itp. Po takich numerach, od razu się pożegnał z ta firmą. Ja się z czymś takim spotkałem kilka razy w życiu, ale to mniej znane sklepy internetowe.

[elkanguro]

W odpowiedzi od VM otrzymałem informację, że wyciekły wyłącznie imię, nazwisko i PESEL. Czy ten CRIF (bezpiecznypesel.pl) to jakaś wiarygodna usługa czy tylko przekazanie danych kolejnym podmiotom?

[Remington]

Moim zdaniem, to firma krzak. Firm pożyczkowych jest chyba z 500, a oni obsługują ok. 30 i niczego nie gwarantują. Poza tym, skoro nie wyciekł Twój nr dowodu, to lepiej go nie podawaj w nowe miejsce.

[TeleCypisek]

A ja bym się wcale nie zdziwił, gdyby któregoś dnia się okazało, że cały ten serwis bezpiecznypesel.pl powstał właśnie po to, by wyciągać dane osobowe!
Bo chcąc zastrzec swój pesel, to oprócz niego podać musimy:
imię, nazwisko, adres e-mail oraz wysłać skan dowodu osobistego.
Czego więcej oszuści mogą potrzebować?
I przede wszystkim, z jakich środków ten serwis jest finansowany?
Bo przecież nikt do tego interesu chyba nie ma zamiaru dokładać?

[as1as]

Dostałem wiadomość w związku z mailem o likwidację konta i usunięcie wszystkich danych osobowych, posiadałem 5 numerów wszystkie już są nieaktywne. Dzwoniłem telefonicznie i pani miłym głosem mówiła, że moich numerów wyciek nie dotyczy, ale...

Witam,
Konto klubu Virgin zostało dezaktywowane.
Zgodnie z art. 180a -180d Ustawy prawo telekomunikacyjne VMP jako dostawca publicznie dostępnych usług telekomunikacyjnych ma obowiazek przechowywania danych w tym danych osobowych przez okres 12 miesięcy od daty wykonania lub próby wykonania połączenia przez abonenta. Ponadto VMP ma prawo przetwarzania tych danych dla usprawiedliwionych prawem interesów VMP w tym rozliczeń podatkowych oraz przez okres przedawnienia przewidziany przepisami prawa cywilnego tj przez okres 6 lat od końca roku, w którym zakończono świadczenie usług telekomunikacyjnych.

Pozdrawiam i pozostaje do dyspozycji,
Grzegorz N®
Centrum Milej Obslugi Klienta | Customer Service

Te 6 lat to jakiś żart, nie rozumiem tego polskiego prawa. Przecież na nasze żądanie powinni usunąć dane, ale jednak nie Ustawa prawo telekomunikacyjne/prawo cywilne nie pozwala. Jestem ciekaw jak w innych sferach życia. Eh

[Remington]

Niestety, ale łacińska paremia mówi, że nieznajomość prawa szkodzi. Masz prawo żądać usunięcia danych, ale nie takich, które muszą przetwarzać.

Dane z faktur muszą przez 5 lat (w praktyce 6), bo tyle trzeba trzymać faktury.

Ale jeśli minął już rok to można żądać usunięcia wszystkich innych danych niż te zawarte na fakturze (a tam nie ma PESEL-u czy numeru dowodu osobistego). I nie mają podstaw by odmówić.

[Przemix]

Pomyślcie ilu ludzi o wycieku się nie dowie, bo numerów już nie ma - tak jak ja. Z 5 numerów jeden pesel wyciekł. A może play je wykradł żeby zbić cenę virgna przed zakupem

[mirekK]

Pocieszna dla poszkodowanych zmiana:
https://i.postimg.cc/prdp1vbZ/IMG-20200114-191112.jpg
wygląda na to, że od 12 stycznia po "skradzeniu" danych można zmienić dowód osobisty... i machina urzędowa dalej się toczy