We wtorek poznański magistrat poinformował o naruszeniu bezpieczeństwa u dostawcy usług SMS. Chodziło o usługę wysyłki na wskazane przez klientów numery komunikatów np. w związku z rezerwacją wizyt w urzędzie, czy powiadomieniem o odbiorze dokumentów.

Miasto podało, że w bazie danych, do której dostęp uzyskali cyberprzestępcy znajdowały się numery telefonów około 30 tys. osób oraz treści urzędowych komunikatów, które nie zawierały danych osobowych. Rzecznik prasowy UODO podkreślił, że „istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową”.

Dyrektor zarządzający SerwerSMS Daniel Zawiliński poinformował PAP, że 19 kwietnia potwierdzone zostało, że w systemie miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych klientów biznesowych. „W wyniku tego ataku nie stwierdziliśmy uzyskania dostępu do kont naszych klientów” - podał. Miasto poinformowało PAP w środę, że pracownik Urzędu Miasta Poznania otrzymał zawiadomienie o incydencie 20 kwietnia.

Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP Michał Łakomski pytany przez PAP o to, dlaczego informacja do mieszkańców o incydencie została przekazana 25 kwietnia, podkreślił, że komunikat o zdarzeniu został przesłany do mieszkańców „niezwłocznie po uzyskaniu niezbędnych informacji w sprawie”.

„Dokonano weryfikacji prawdziwości informacji o naruszeniu oraz ustalono faktyczny zakres danych, które zostały naruszone. Od dostawcy usługi oraz wydziałów UMP zebrano informacje techniczne mające wpływ na okoliczności wystąpienia incydentu. Ponadto przygotowano i zweryfikowano listę dystrybucyjną odbiorców informacyjnego SMS-a o incydencie oraz opracowano treść i formę komunikatu dla mieszkańców, których dane zostały udostępnione” - podał Łakomski.

Jak zaznaczył dopiero po zebraniu wyjaśnień w sprawie możliwe było zawiadomienie mieszkańców i udzielenie wiarygodnych, rzetelnych informacji.

„Uzyskaliśmy również oświadczenie dostawcy usługi, że wykorzystana do przeprowadzenia ataku podatność w systemie została zidentyfikowana i usunięta. Platforma SMS jest stale monitorowana pod kątem wszelkiej podejrzanej aktywności. W ramach czynności mających na celu zminimalizowanie skutków naruszenia monitorujemy działania podjęte przez dostawcę usługi, który dokonał wymuszenia zmiany haseł przez użytkowników platformy, ograniczył możliwość logowania z nieautoryzowanych numerów IP, zabezpieczył klucze API, zresetował dostępy do całej infrastruktury i wdrożył dodatkowe algorytmy zabezpieczające” – przekazał Michał Łakomski.

Przedstawiciel miasta poinformował, że decyzja o podjęciu ewentualnych kroków prawnych względem dostawcy usługi będzie zależna od wyniku prowadzonego postępowania w sprawie.

Rzecznik prasowy UODO Adam Sanocki poinformował PAP, że w środę z Urzędu Miasta Poznania wpłynęło zgłoszenie naruszenia ochrony danych. „Sprawa jest obecnie analizowana, a ewentualne dalsze działania będą podejmowane po zbadaniu jej wszelkich okoliczności” - powiedział.

„Z opisu sprawy wynika, że dotyczy ona numerów telefonów. Istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową. Choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO” - poinformował.

„Nie ma znaczenia, czy ktoś posiada imię i nazwisko właściciela numeru. Wystarczy zadzwonić, żeby ustalić, z kim się rozmawia. Warto też nadmienić, że numer telefonu należący do osoby fizycznej jest zawsze przypisany do konkretnej osoby, gdyż to ona podpisuje umowę, ona się nim posługuje, z nią można się skontaktować dzwoniąc na ten numer i to ona (w założeniu i najczęściej) z niego korzysta” – wyjaśnił rzecznik UODO.

Rzecznik poinformował też, że w przypadkach, gdy istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych administrator o sytuacji poinformował również osoby, których te dane dotyczą. Wyjaśnił, że takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP przyznał, że skradzione numery telefonów mogą zostać wykorzystane przez sprawców ataku hakerskiego m.in. do ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.

PAP zapytała firmę, u której wystąpił incydent, o to, czy ma wiedzę, co się stało z przejętymi danymi klientów UMP. Dyrektor zarządzający SerwerSMS Daniel Zawiliński w przesłanym PAP oświadczeniu poinformował, że w związku z toczącymi się działaniami służb na ten moment nie może podawać więcej szczegółów dotyczących zdarzenia.

rpo/ jann/ mr/