Cieszyn: Kradzież danych osobowych. Ktoś włamał się do serwera ZBM. Spółka radzi klientom, co teraz powinni zrobić

Zakład Budynków Miejskich w Cieszynie informuje o możliwych konsekwencjach naruszenia ochrony danych osobowych. ZBM podjął środki w celu zminimalizowania ewentualnych negatywnych skutków oraz wyeliminowania podobnych nieprawidłowości w przyszłości. Jak doszło do tego zdarzenia?

- 6 października w godzinach porannych spółka otrzymała informacje o możliwości nieuprawnionego dostępu do wewnętrznej bazy danych ZBM. Serwer został całkowicie zablokowany, więc istnieje możliwość, iż skradziono z niego dane osobowe mieszkańców Cieszyna - informuje ZBM.

W "świat" mogły wyciec imiona, nazwiska, adresy e-mail i zamieszkania, numery telefonów klientów ZBM. A w sytuacjach - gdy było to konieczne do rozliczeń - numery PESEL, szczegóły rozliczeń oraz hasła i loginy osób, które był przechowywane w formie zaszyfrowanej. ZBM wskazuje, że dostęp do bazy możliwy jest jedynie w ramach wewnętrznej sieci administratora, do której dostęp posiadają wyłącznie uprawnieni pracownicy.

- Dla osób, których dodatkowo przetwarzany był numer konta i pesel istnieje ryzyko straty finansowej. Osoby trzecie mogą np. uzyskać kredyty w instytucjach pozabankowych, zawrzeć umowy cywilno-prawne, np. najmu nieruchomości, posłużyć się cudzymi danymi w celach przestępczych - wylicza spółka.

Po ataku spółka ponownie zabezpieczyła bazę. Stwierdzono, że do serwera włamano się poprzez zastosowanie złośliwego oprogramowania typu trojan (tzw. ransomware). Wewnętrzna analiza systemów informatycznych oraz komputerów wykazała natomiast, iż nie mogło dojść do usunięcia lub modyfikacji danych.

- Nie powinno też dojść także do masowego skopiowania samej bazy danych. Została ona zaszyfrowana przez hakera. Istnieje jednak ryzyko, że mogło dojść do kopiowania danych poprzez wykonanie fotografii lub zrobienie zrzutu ekranu - wskazują w ZBM.

Administrator danych niezwłocznie podjął działania zmierzające do odzyskania dostępu do bazy. Zawiadomił Prezesa Urzędu Ochrony Danych Osobowych, policję, CERT. Zmienił hasła dostępowe do bazy oraz zaktualizował dotychczasowe oraz dodatkowe oprogramowanie chroniące przed atakami hakerskimi, a także zaplanował m.in. szkolenia dla pracowników z zakresu ochrony danych osobowych z uwzględnieniem cyberataków.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia ZBM zaleca, aby jego klienci:

• zachowali ostrożność w sytuacji odbierania połączeń telefonicznych lub wiadomości e-mail od nieznanych odbiorców;
• zachowali ostrożność, ponieważ może dojść do próby podszycia się pod ZBM w celu wyłudzeń;
• ignorowali nieoczekiwane wiadomości, w szczególności namawiające do podjęcia dodatkowego działania, jak odesłanie wiadomości SMS lub zrobienie mikroprzelewu, uzupełniania bieżących opłat;
• zachowali szczególną ostrożność przy podawaniu danych osobowych za pomocą telefonu, email;
• założyli konto w systemie informacji kredytowej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem, a także sprawdzenia dotychczasowej historii kredytowej;
• zmienili zabezpieczenia do rachunku bankowego lub zmienili rachunek bankowy

- Jeśli dowiedzą się Państwo o wykorzystaniu danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji - prosi ZBM.