[VIRGIN Mobile] Wyciek danych osobowych klientów

[molibden]

No to juz mam wyjaśnioną sprawę. Wyciekły tylko pesel i nazwisko/imię. Stare dane dowodów prawdopodobnie musiały być wykasowane bo nie ma po nich śladu i wyszły tylko moje bo tak jak pisałem - przepisałem wszystko na siebie min dlatego żeby rodzice potem nie mieli szopek z konsultantami, urzędami i jakimikolwiek problemami natury techniczno-prawnej.
A w sumie to nie wiem czy dobrze rozumuje , ale chyba bezpieczniej jest miec mimo wszystko prepaid niz postpaid bo z tego co wywnioskowałem rejestracja prepaidu to tak naprawdę teraz jest przywiązaniem numeru do Pesel. Dobrze rozumiem? Tam chyba danych samego dokumentu jakim jest dowód nie powinno być w sumie. Z tego co ludzie pisali to rejestrowali się jedynie podając pesel.
Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

[Kryniczanin]

U mnie wyciekł Imię, Nazwisko, PESEL i dowód - nieaktualny od maja 2017 i zastrzeżony w banku wtedy (BZW WBK brał za to 20 pln). U dziadka nic nie wyciekło u dwójki znajomych imię, nazwisko, PESEL.

[babciagienia1p]

Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach?

Na mój lichy rozumek do rejestracji w POS-ie powinno wystarczyć wysłanie kilku rekordów: numer telefonu, numer karty sim (obydwa najlepiej w formie zeskanowanego czytnikiem kodu EAN), imię, nazwisko, Pesel, w ostateczności adres i grzeczne czekanie na zwrotny komunikat - tak/nie. Pewnie jest pole numer dokumentu ze względu na cudzoziemców. Może być nadgorliwie wypełniane. Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne. W razie problemów - telefon na infolinię, albo zarejestrowanie drugiej karty, która jest w POS-ie.

[Kryniczanin]

Co do PESELu:

Niech ktoś powie jak go chronić skoro podaje się go wszędzie:ubezpieczenia, recepty, legitymacje szkolne, świadectwa, u,owy cywilno-prawne i wiele wiele wiele wiele wiele wiele innych...

[Remington]

Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

I dlatego tak istotny jest nr dowodu osobistego. Zawsze jakimś punktem zaczepienia będzie jeśli był on zmyślony i niezgodny z prawdziwym, a na niekorzyść przemawiać będzie gdy nr był prawidłowy. Sprzedawca też powie wtedy, że osoba zgadzała się ze zdjęciem i jedyny dowód na obronę to ekspertyza grafologiczna lub wykazać, że było się tego dnia na drugim końcu świata.

Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne.

Oczywiście, jednak nie wiemy czy nie było podatności pozwalającej na sfałszowanie uprawnień lub ich obejście, na ingerencję w bazę danych i nieuprawniony do niej dostęp itd. Nic nie wiemy.

Co do PESELu:

Niech ktoś powie jak go chronić

Po co chronić. To jak nazwa wskazuje, tylko nr ewidencyjny (nawet tak był podpisany w książeczkowym dowodzie osobistym). Dobry jest o tyle, że unikalny i jednoznacznie wskazuje na konkretną osobę. Wadą jest nie PESEL i jego dostępność, tylko stosowanie prawa, interpretowanie umów bez niepodważalnych dowodów ich prawdziwości itd.

[molibden]

Rozmowa z konsultantem Virgin.
-Dzień dobry, dzwonię bo chciałem się dowiedzieć jakie to dane wyciekły z bazy danych
-A tak... Wyciekły numery pesel....
- To chciałbym wiedzieć co wyciekło w moim przypadku.
- Dobrze, to w celu weryfikacji poproszę podać pesel , imię i nazwisko

Słabe to trochę. Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

[Remington]

Podobno niektórych pytają o sam nr, bez mówienia o danych.

Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

Co w tym nie tak? Żeby zamówić lub zmienić adres trzeba mieć konto w Klubie Virgin, czyli albo znać e-mail i hasło, albo mieć kartę SIM i założyć konto. To jest już jakiś stopień weryfikacji.

[Kryniczanin]

Tak ja tak pytałem, podałem numery i spytałem się co wyciekło. Zapytałem się o pierwszą literkę dowodu. Dzięki temu wiedziałem wszystko.

[asdaf]

Gdy się dodzwoniłem i zapytałem co wyciekło z moich danych? Konsultantka spytała czy chodzi o numer z którego dzwonie? Potwierdziłem i dowiedziałem, że wykradziono imię,nazwisko, nr PESEL. Mojego numeru dowodu nie mają w bazie. Niestety nie wpadłem na myśl aby zapytać czy adres email został skopiowany. Adresy zamieszkania to pewnie też wyciekły?

[asdaf]

Otrzymaliście sms rzekomo od Virgin: "Drogi kliencie, Szczególy dotyczace nieuprawnionego dostepu do systemow Spolki znajdziesz na stronie https:// bit. ly/.... - i niewiem czy dalej podawać czy to nie jest podstęp?
Edit. Zadzwoniłem do operatora. Potwierdzają rozsyłanie smsów. Link podany w smsie prowadzi do strony https://virginmobile.pl/zawiadomienie-o-ataku

[molibden]

tak, dostałem takiego smsa. Nic istotnego. W święta natomiast jak pisałem, złożyłem wniosek w CRIF. Następnego dnia zastrzegłem dowód więc już kwestia numeru potencjalnego upłynnienia nr dowodu z ich strony stała się nieistotna. Jednak intryguje mnie kwestia tego że dziś dostałem maila z potwierdzeniem weryfikacji wniosku. Skoro dostali wniosek z unieważnionym dowodem to na jakiej podstawie przeszedł mój wniosek? W jedną noc - w święta - raczej nie zdążyli sprawdzić tego dowodu. Rano jak sprawdzili dowód powinien być nieważny ergo najprawdopodobniej nie sprawdzają tych skanów które im się przesyła w urzędowej bazie danych.

[Remington]

najprawdopodobniej nie sprawdzają tych skanów które im się przesyła w urzędowej bazie danych.

Że niby w czym? Jedyne gdzie mogliby sprawdzić, to baza MIG DZ, o której pisałem 27 gru 2019, 17:44.

[marcin19883]

Czy u nas również Virgin Mobile, przechowuje hasła użytkowników w postaci nie szyfrowanej. Dowiedziałem się od kogoś, kto miał kiedyś Virgin Mobile za granicą, że emaile potwierdzające z hasłami przychodziły itp. Po takich numerach, od razu się pożegnał z ta firmą. Ja się z czymś takim spotkałem kilka razy w życiu, ale to mniej znane sklepy internetowe.

[elkanguro]

W odpowiedzi od VM otrzymałem informację, że wyciekły wyłącznie imię, nazwisko i PESEL. Czy ten CRIF (bezpiecznypesel.pl) to jakaś wiarygodna usługa czy tylko przekazanie danych kolejnym podmiotom?

[Remington]

Moim zdaniem, to firma krzak. Firm pożyczkowych jest chyba z 500, a oni obsługują ok. 30 i niczego nie gwarantują. Poza tym, skoro nie wyciekł Twój nr dowodu, to lepiej go nie podawaj w nowe miejsce.