Atak hakerów na bazę danych operatora komórkowego Virgin Mobile, to nie pierwszy i na pewno nie ostatni przypadek wycieku danych osobowych klientów telekomu. W ciągu kilku ostatnich lat podobne zdarzenia ujawniono w także u innych operatorów telekomunikacyjnych w Polsce. W 2013 roku można było znaleźć w Internecie plik z danymi 400 tysięcy abonentów firmy telekomunikacyjnej Hyperion. Na początku następnego roku GIODO wszczął kontrolę w sprawie wycieku danych 135 tys. klientów Orange Polska. W 2018 roku o wycieku danych osobowych części klientów poinformował kontrolowany przez Polkomtel operator komórkowy AERO2.
Kredyt wyłudzony przez dane od operatora
W tamtych przypadkach zawiodło albo oprogramowanie, które pozwalało na nieautoryzowany dostęp do danych nawet przypadkowym użytkownikom Internetu albo było wynikiem działania przestępców, którzy skopiowane dane chcieli sprzedać na internetowym czarnym rynku, gdzie cieszą się dużym zainteresowaniem. Tym razem atak przeprowadzili hakerzy, jak się okazuje skutecznie. Z oświadczenia Virgin Mobile opublikowanego w mediach społecznościowych wynika, że problem może dotyczyć 12,5% klientów tego operatora korzystających z usługi prepaid. Według Gazety Wyborczej to ok. 50 tys. osób.
– Ten atak nie jest dla mnie zaskoczeniem. Takie przypadki się zdarzały i zdarzać będą. Operatorzy telekomunikacyjni, to łakomy kąsek dla przestępców chcących uzyskać dostęp do danych osobowych konsumentów, choćby ze względu na liczbę zgromadzonych przez nich rekordów. Przecież dzisiaj praktycznie każdy Polak ma telefon, za ich pośrednictwem korzystamy też z dostępu do Internetu, a coraz częściej także do telewizji – czyli tych zdobyczy cywilizacji, bez których nie wyobrażamy sobie życia. Dla przestępców takie bazy danych, to prawdziwy róg obfitości, z którego na pewno korzystają. O wielu przypadkach przecież nie wiemy, bo hakerzy w przeciwieństwie do włamywaczy nie zostawiają śladów.
O ile metody działania przestępców, aby wykraść dane, są różne, to ich zakres jest w większości przypadków taki sam. Oprócz imienia i nazwiska oraz adresu obejmuje także PESEL. To kluczowy zestaw danych wystarczających do zaciągnięcia zobowiązań na cudze konto: kredyt gotówkowy, zakupy na raty, rejestracja firmy na czyjeś dane i branie towarów na fakturę z odroczonym terminem płatności. Złodziej pozostaje nieuchwytny, a kłopot ma Bogu ducha winny posiadacz PESEL-u wzywany na policję i do sądu, ścigany przez komornika i firmę windykacyjną. Nawet jeśli po wielu miesiącach, a czasami i latach, uda mu się udowodnić, że „to nie on”, nikt nie zrekompensuje mu zszarganych nerwów, stresu i niepewności towarzyszącej każdej wizycie listonosza czy telefonom z nieznanych numerów i pieniędzy wydanych na prawników.
– Musimy zacząć żyć ze świadomością, że jest to zagrożenie, którego nie da się uniknąć. Nasze dane są gromadzone w różnych miejscach, nie zawsze dobrze zabezpieczonych, a przestępcy dzięki Internetowi mają do nich ułatwiony dostęp. To jak grypa – jeśli jeździmy komunikacją miejską, robimy zakupy w centrach handlowych, idziemy do kina lub teatru – prędzej czy później zostaniemy zarażeni. Dlatego należy się szczepić, bo nawet jeśli to nie uchroni nas przed chorobą, to zminimalizuje jej skutki. W przypadku danych osobowych taką szczepionką jest stałe monitorowanie czy ktoś nie wykorzystuje akurat naszego PESEL-u, żeby złożyć wniosek o kredyt lub pożyczkę. Wtedy kredytodawca sprawdza, czy nie widniejemy w Krajowym Rejestrze Długów, ale musi mieć na to naszą zgodę. Jeśli jej nie dawaliśmy, a dostajemy powiadomienie o takim sprawdzeniu, trzeba szybko reagować, bo właśnie padamy ofiarą przestępstwa – dodaje Bartłomiej Drozd.