[VIRGIN Mobile] Wyciek danych osobowych klientów

[molibden]

Ja nie pamiętam żadnej cesji. Nie pamiętam w jaki sposób wszystkie trzy numery spiąłem pod jeden pesel, ale to nie było żadną trudnością i nie robiłem żadnej cesji. Chyba najpierw podpiąłem do jednego konta klienta a potem jakoś zmieniłem właściciela. To było przed 2017r. BYć może w panelach poszczególnych numerów (klientów) była możliwość zrobienia takiej 'cesji' jednym kliknięciem po prostu. A potem była tylko już tylko rejestracja 'antyterrorystyczna'. Z tego co jestem sobie w stanie przypomnieć to przyszły esemesy na każdy numer z numerem pesel i możliwością potwierdzenia.

[babciagienia1p]

Nie wiemy też czy był to mega włam do baz danych i przełamanie zabezpieczeń, czy też ktoś miał zrzut na komputerze, na który wpuścił robaka, bo otworzył fałszywą fakturę z maila.

Według Macieja Sobocińskiego - managera IT w Virgin - włamanie nastąpiło przez system rejestracji POS (w punktach sprzedaży detalicznej). Czyżby ktoś się podpiął i buszował w systemie Virgin przez parę dni ... ?

-----Edit----------
Przecież system rejestracji powinien działać tylko w jedną stronę. Ewentualnie ze zwrotką potwierdzającą zarejestrowanie. Dziwne ... .

[pantin]

Ja nie pamiętam żadnej cesji. Nie pamiętam w jaki sposób wszystkie trzy numery spiąłem pod jeden pesel, ale to nie było żadną trudnością i nie robiłem żadnej cesji. Chyba najpierw podpiąłem do jednego konta klienta a potem jakoś zmieniłem właściciela. To było przed 2017r. BYć może w panelach poszczególnych numerów (klientów) była możliwość zrobienia takiej 'cesji' jednym kliknięciem po prostu. A potem była tylko już tylko rejestracja 'antyterrorystyczna'. Z tego co jestem sobie w stanie przypomnieć to przyszły esemesy na każdy numer z numerem pesel i możliwością potwierdzenia.

Ja wysyłałem maila w marcu 2016 i wyglądało to tak, że dane są czyszczone po przeniesieniu i można było wpisać swoje.

Natomiast w sierpniu 2016 już tylko możliwa była cesja po przeniesieniu.

[jarekt]

@Rem, niebezpiecznik z Virginem trochę bezpośrednio dyskutował na ten temat.

---edit---
Znowu się usunąłeś...

[pipawolowa]

Udało się komuś skutecznie dodzwonić do virgin ?

[molibden]

Ja wysyłałem maila w marcu 2016 i wyglądało to tak, że dane są czyszczone po przeniesieniu i można było wpisać swoje.

No to wynika z tego że prawdopodobnie numeru ojca już nie mieli przed rejestracją i jak wypłynęły to moje, ale żadnej pewności nie ma.

Ja juz nawet nie próbuję tam dzwonić. 24h czekam na odpowiedź mailową. Pocieszające tylko to że nie czytałem nigdzie aby komuś wypłynął nr dowodu. Może dowód wypływał tylko jak ktoś nie rejestrował sie peselem ale to chyba niemożliwe żeby tylko nr dowodu spisywali.

[Remington]

@Rem, niebezpiecznik z Virginem trochę bezpośrednio dyskutował na ten temat.

---edit---
Znowu się usunąłeś...

Tak, znalazłem odpowiedź

Przecież system rejestracji powinien działać tylko w jedną stronę. Ewentualnie ze zwrotką potwierdzającą zarejestrowanie. Dziwne ... .

Nie wiemy czy tylko do tego służył ten system, równie dobrze to mogła być tylko część czegoś większego.

Takie systemy się kupuje, następnie testuje i audytuje pod kątem bezpieczeństwa. Pod audytem podpisuje się wyspecjalizowana firma. Jeśli tak to przebiegło, to sugerowana przez Ciebie odpowiedzialność zarządu, jest żadna - bo dołożyli należytej staranności i skorzystali z fachowców. Ciekawe tylko czy i jak regulują to umowy z audytorem i dostawcą oprogramowania.

Morele ukarano za rażące zaniedbania, np. nie kasowali danych z "usuniętych" kont, hasła dało się odszyfrować itd.

Był też jakiś czas temu włam do Aero2 gdzie wyciekło nawet więcej danych niż teraz. Jak na razie cisza o karze.

[aupol]

Dzwoniłem wczoraj i dziś i łączyło mnie po kilku minutach. Niestety w moim przypadku wypłynął dowód osobisty. Na szczęście był nieaktualny i zastrzeżony bo w międzyczasie go wymieniłem. Numer rejestrowałem chyba przez stronę, na pewno nie przez żaden punkt stacjonarny. Było to dość dawno temu gdy chciałem przenieść nr do innej sieci i nie było jeszcze obowiązku rejestracji.

[babciagienia1p]

Nie wiemy czy tylko do tego służył ten system, równie dobrze to mogła być tylko część czegoś większego.

Jeśli pozwala się na dostęp do czegoś większego w co najmniej kilkunastu tysiącach punktów, z których przeważająca większość, jeśli nie całość, jest prowadzona przez niezależnych, od swoich sieci, ajentów (trzecia łapa), jest to bardzo nierozważne. No i powinno pojawić się pytanie: dlaczego znowu ja?

[Remington]

Kto powiedział o "pozwalaniu na dostęp"? Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach? Wariantów jest tak wiele, że trudno cokolwiek wyrokować. Podatność niewykryta podczas audytu(ów?) to jednak nie jest "pozwalanie".

Nie wiemy co było przyczyną i bez wyników kontroli UODO wszelkie dywagacje są tylko domysłami. Do tego czasu warto wstrzymać się z takimi kategorycznymi stwierdzeniami.

[molibden]

No to juz mam wyjaśnioną sprawę. Wyciekły tylko pesel i nazwisko/imię. Stare dane dowodów prawdopodobnie musiały być wykasowane bo nie ma po nich śladu i wyszły tylko moje bo tak jak pisałem - przepisałem wszystko na siebie min dlatego żeby rodzice potem nie mieli szopek z konsultantami, urzędami i jakimikolwiek problemami natury techniczno-prawnej.
A w sumie to nie wiem czy dobrze rozumuje , ale chyba bezpieczniej jest miec mimo wszystko prepaid niz postpaid bo z tego co wywnioskowałem rejestracja prepaidu to tak naprawdę teraz jest przywiązaniem numeru do Pesel. Dobrze rozumiem? Tam chyba danych samego dokumentu jakim jest dowód nie powinno być w sumie. Z tego co ludzie pisali to rejestrowali się jedynie podając pesel.
Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

[Kryniczanin]

U mnie wyciekł Imię, Nazwisko, PESEL i dowód - nieaktualny od maja 2017 i zastrzeżony w banku wtedy (BZW WBK brał za to 20 pln). U dziadka nic nie wyciekło u dwójki znajomych imię, nazwisko, PESEL.

[babciagienia1p]

Może zaatakowano bazę danych, wykonano cośtam-injection czy jak się to zwie, a może coś było pomylone w uprawnieniach i dało się robić kwerendy szersze niż pozwalał interfejs pracownika w POS-ach?

Na mój lichy rozumek do rejestracji w POS-ie powinno wystarczyć wysłanie kilku rekordów: numer telefonu, numer karty sim (obydwa najlepiej w formie zeskanowanego czytnikiem kodu EAN), imię, nazwisko, Pesel, w ostateczności adres i grzeczne czekanie na zwrotny komunikat - tak/nie. Pewnie jest pole numer dokumentu ze względu na cudzoziemców. Może być nadgorliwie wypełniane. Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne. W razie problemów - telefon na infolinię, albo zarejestrowanie drugiej karty, która jest w POS-ie.

[Kryniczanin]

Co do PESELu:

Niech ktoś powie jak go chronić skoro podaje się go wszędzie:ubezpieczenia, recepty, legitymacje szkolne, świadectwa, u,owy cywilno-prawne i wiele wiele wiele wiele wiele wiele innych...

[Remington]

Z drugiej strony to mając pesel i sfałszowany dowód można wziąć numer na słupa - na przykład na mnie.

I dlatego tak istotny jest nr dowodu osobistego. Zawsze jakimś punktem zaczepienia będzie jeśli był on zmyślony i niezgodny z prawdziwym, a na niekorzyść przemawiać będzie gdy nr był prawidłowy. Sprzedawca też powie wtedy, że osoba zgadzała się ze zdjęciem i jedyny dowód na obronę to ekspertyza grafologiczna lub wykazać, że było się tego dnia na drugim końcu świata.

Jakiekolwiek kwerendy ze strony POS-u są, według mnie, niepotrzebne.

Oczywiście, jednak nie wiemy czy nie było podatności pozwalającej na sfałszowanie uprawnień lub ich obejście, na ingerencję w bazę danych i nieuprawniony do niej dostęp itd. Nic nie wiemy.

Co do PESELu:

Niech ktoś powie jak go chronić

Po co chronić. To jak nazwa wskazuje, tylko nr ewidencyjny (nawet tak był podpisany w książeczkowym dowodzie osobistym). Dobry jest o tyle, że unikalny i jednoznacznie wskazuje na konkretną osobę. Wadą jest nie PESEL i jego dostępność, tylko stosowanie prawa, interpretowanie umów bez niepodważalnych dowodów ich prawdziwości itd.

[molibden]

Rozmowa z konsultantem Virgin.
-Dzień dobry, dzwonię bo chciałem się dowiedzieć jakie to dane wyciekły z bazy danych
-A tak... Wyciekły numery pesel....
- To chciałbym wiedzieć co wyciekło w moim przypadku.
- Dobrze, to w celu weryfikacji poproszę podać pesel , imię i nazwisko

Słabe to trochę. Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

[Remington]

Podobno niektórych pytają o sam nr, bez mówienia o danych.

Ciekawe jak przebiega aktywacja duplikatu karty? Jeśli tak jak dawniej to po zamówieniu z konta klienta i po otrzymaniu nowej karty wystarczy pesel, nazwisko żeby ją aktywować .

Co w tym nie tak? Żeby zamówić lub zmienić adres trzeba mieć konto w Klubie Virgin, czyli albo znać e-mail i hasło, albo mieć kartę SIM i założyć konto. To jest już jakiś stopień weryfikacji.

[Kryniczanin]

Tak ja tak pytałem, podałem numery i spytałem się co wyciekło. Zapytałem się o pierwszą literkę dowodu. Dzięki temu wiedziałem wszystko.

[asdaf]

Gdy się dodzwoniłem i zapytałem co wyciekło z moich danych? Konsultantka spytała czy chodzi o numer z którego dzwonie? Potwierdziłem i dowiedziałem, że wykradziono imię,nazwisko, nr PESEL. Mojego numeru dowodu nie mają w bazie. Niestety nie wpadłem na myśl aby zapytać czy adres email został skopiowany. Adresy zamieszkania to pewnie też wyciekły?

[asdaf]

Otrzymaliście sms rzekomo od Virgin: "Drogi kliencie, Szczególy dotyczace nieuprawnionego dostepu do systemow Spolki znajdziesz na stronie https:// bit. ly/.... - i niewiem czy dalej podawać czy to nie jest podstęp?
Edit. Zadzwoniłem do operatora. Potwierdzają rozsyłanie smsów. Link podany w smsie prowadzi do strony https://virginmobile.pl/zawiadomienie-o-ataku