Dziś rano gruchnęła wiadomość, że nastąpiła kradzież danych z Orange. Na razie nie wiadomo ile osób (mówi się o setkach tysięcy) może się obawiać o swoje numery PESEL, imiona i nazwiska, adresy mail, NIP, dane z dokumentów tożsamości czy numery telefonów. Prześledźmy sytuację.
[full] [half flow=”start”]
[su_list icon=”icon: plus”]
- oświadczenie rzecznika prasowego
[/su_list]
[/half] [half flow=”end”]
[su_list icon=”icon: minus”]
- milczenie marki w tej kwestii przez długi czas
- brak zapewnień o zabezpieczeniu danych
[/su_list]
[/half] [/full]
[su_box title=”Podsumowanie” style=”glass”]Mimo dużego zasięgu medialnego sprawa nie zaszkodziła marce na dłuższą metę. Ludzie chyba się już przyzwyczaili do tego, że ich dane są podawane wszędzie bez ich zgody…[/su_box]
O sprawie dowiedziałam się dzięki otagowaniu mnie przez jednego z klientów oraz kilku prywatnych wiadomości od moich znajomych.
Szybki research przyniósł mi kilka publikacji prasowych, m.in. w:
- Pulsie Biznesu – ujawnił sprawę jako pierwszy
- Wirtualnychmediach
- Interia Biznes
- Forsal
- Biznes Newsweek
- Spider’sWeb
- Telepolis
- Telix
- Gazeta Prawna
- TVN24
- Biznes Onet (za Pap)
- Polskie Radio
- Gazeta Wyborcza
- Wprost
Zatrzymano 3 osoby. “Jednym z zatrzymanych jest pracownik firmy outsourcingowej współpracującej z operatorem, którego ujęto w siedzibie Orange.”. Do zatrzymania doszło, gdy jedna z osób próbowała sprzedać skradzione dane. Wszystko działo się w zeszłym tygodniu. Oferta opiewała na 135 tysięcy rekordów po złotówkę za sztukę (skradzionych danych mogło być więcej). Później cenę obniżono do 40 groszy.
Kradzież danych z Orange nastąpiła już kilka miesięcy temu i przez ten czas, według Pulsu Biznesu, można było kupić dane abonentów.
Ze względu na toczące się śledztwo Wojciech Jabczyński, rzecznik PR Orange, odmawiał przez pewien czas komentarza.
Jednak koło południa pojawił się post na blogu tłumaczący sytuację:
Dziś Puls Biznesu, a za nim pozostałe media informują o kradzieży danych klientów Orange i udaremnionej próbie ich sprzedaży. W tej sprawie od kilku miesięcy blisko współpracowaliśmy z Policją i nie jesteśmy zaskoczeni zatrzymaniami. Dziękujemy za skuteczne działania i to, że ostatecznie poufne informacje o naszych klientach nie wypłynęły na rynek. Złodziej, który pracował dla firmy współpracującej z Orange Polska, został złapany na gorącym uczynku. Wpadli też jego koledzy. Żaden z nich nie jest naszym pracownikiem. Jest nam przykro, że do doszło kradzieży. Niestety pokusa szybkiego zarobku okazała się dla tych ludzi zbyt duża. Zapewniam, że dokładamy wszelkich starań, aby Wasze dane były bezpieczne. Mamy wiele surowych procedur bezpieczeństwa i ściśle ich przestrzegamy.
Jak komentuje Damian Jaroszewski ze Spider’s Web:
Oczywiście nie znam wewnętrznych procedur operatora, ale dziwne wydaje mi się to, że dostęp do tak kluczowych informacji ma pracowników firmy outsourcingowej. Wydaje mi się, że Orange powinno poważnie przemyśleć to, jakie osoby mają wgląd w dane klientów i co nieco pozmieniać w podejściu do tego tematu. Zaufanie klientów to w końcu sprawa kluczowa, a taka kradzież mocno je nadszarpuje.
Sprawa trafiła oczywiście na Wykop, gdzie dopiero się rozwija (130 wykopów, 3,5 tys. wyświetleń).
Jak na ironię jeden z dzisiejszych tytułów gazetowych (Parkiet) głosi, że Orange skutecznie broni użytkowników usług. Innymi słowy nie ma takiego odpływu klientów. Może do czasu.
Zatrzymanym przedstawiono już zarzuty.
Kradzież danych z Orange – czym się różni od wycieku?
Kradzież to sytuacja, w której ktoś włamuje się do systemu i pobiera z niego dane – w tym wypadku jeden z pracowników firmy outsourcingowej miał dostęp do danych, które pobrał i wyniósł z firmy. W przypadku wycieku istnieje jakaś “dziura”, która umożliwia pobranie tych danych np. nieupoważnionym osobom.
Monitoring
Od wczoraj pojawiło się 278 wzmianek o Orange z czego 75 obejmowało kradzież danych z Orange. Sentyment praktycznie w pełni negatywny. Szacowany zasięg to 4,5 tys. osób. Jak często w tego typu przypadkach głównie dyskusja odbywa się na Twitterze i Wykopie.
Etyka?
Bardzo często w tego typu sytuacjach należy szybko zawiadomić swoich klientów o problemie. W tej sytuacji tak się nie stało – Orange wiedziało o kradzieży, współpracowało z policją, aby ująć sprawców. Warto zastanowić się nad tym co jest ważniejsze – informowanie klientów czy uchwycenie sprawców? Czy dałoby się zaaresztować złodziei, gdyby firma przyznała, że wie o kradzieży?
– Mężczyzna zwrócił uwagę na ogłoszenie na jednym z portali internetowych. Wynikało z niego, że ktoś na ogromną skalę handluje danymi osobowymi – relacjonuje podinsp. Kącka.
Innymi słowy ujęcie sprawców było przypadkiem z powodu uczciwości jednego z przeglądających ogłoszenia. Może jednak warto było zawiadomić o sytuacji?
Dalsze kroki
Orange zdecydowanie powinno zapewnić klientów, że ich dane są bezpieczne i pokazać w jaki sposób zamierzają uniknąć podobnych sytuacji w przyszłości (zasada 5P – popraw się). Ponieważ sprawa rozlała się na media warto rozesłać oświadczenie skonstruowane z policją, tak, aby zapewnić, że klienci będą od teraz informowani na bieżąco o postępie prac.
– Dokładamy wszelkich starań, aby nasze systemy ochrony były szczelne, a dane klientów bezpieczne. Mamy wiele surowych procedur bezpieczeństwa i ściśle ich przestrzegamy. Niestety, w tym konkretnym przypadku zawinił człowiek, który po prostu okazał się złodziejem – mówi rzecznik.
Mówimy o skopiowaniu ponad 135 tysięcy danych osobowych. Ktoś je wyniósł z firmy. Gdzieś jednak procedura bezpieczeństwa nie zadziałała, skoro osoba przez ileś miesięcy nadal pracowała w firmie nie obawiając się konsekwencji.
Zabrakło przeprosin: “Jest nam przykro, że do doszło kradzieży.” wyraża tylko empatię, ale nie jest przeprosinami. O ile z punktu widzenia Orange nie mogą sobie nic zarzucić, o tyle dla klientów sprawa jest jasna, że zawiniły jakieś procedury, że osoba z zewnętrznej firmy miała dostęp do wszystkich danych osobowych. Przeprosiny są więc jak najbardziej na miejscu.
Brakuje oficjalnego ogłoszenia na fanpage Orange (na Twitterze się pojawiło). Wklejanie linka w komentarzach nie pomaga 😉
Trzeba mieć dużo cierpliwości, bo potem jest tak:
Nie najlepiej wygląda SEO:
Oświadczenie na blogu rzecznika może do wielu osób nie dotrzeć.
PS czyżby jednak dane wypłynęły?
[alert size=”alert-block”]sprawa w toku[/alert]
Zobacz też:
Podobną sytuację przeżyła niedawno firma Hyperion. Oprócz wszystkich wrażliwych danych w pliku zawierającym 400 tys. rekordów znalazły się też np. numery kont bankowych.
Załączniki
Regulamin świadczenia usług telekomunikacyjnych dla Abonentów ofert na kartę z dnia 19 lipca 2010 r. (podobne zapisy mają inne regulaminy)
§ 9 Ochrona i przetwarzanie danych Abonenta
1.Operator gwarantuje zachowanie poufności uzyskanych od Abonenta.
Operator ma obowiązek poinformowania Abonenta jakiego rodzaju dane
jego dotyczące będą przetwarzane.
2. Operator ma prawo do przetwarzania uzyskanych od Abonenta
danych osobowych w celu wykonywania Umowy oraz wypełniania
prawnie usprawiedliwionych celów administratorów danych, a także – za
zgodą Abonenta – przy organizowaniu akcji promocyjnych i loterii na
rzecz Abonentów oraz dla celów statystycznych i marketingowych.
3.Podczas korzystania z usług w sieciach partnerów roamingowych,
lokalne zasady dotyczące przechowywania i transferu danych Abonenta
mogą być inne niż stosowane w sieci telekomunikacyjnej Operatora.
4. Abonent ma możliwość rejestracji poprzez wypełnienie karty
rejestracyjnej w celu otrzymywania, w określonych w Ustawie
przypadkach, informacji i zawiadomień.
5.Abonent jest zobowiązany niezwłocznie zawiadamiać Operatora o
zmianie danych, które podał Operatorowi, ale nie później niż w terminie
14 dni od dokonania zmiany. Zawiadomienie o zmianie danych
Abonenta powinno mieć formę karty rejestracyjnej zawierającej aktualne
dane Abonenta karty SIM, przy czym za zgodą Operatora
zawiadomienie może mieć także inną formę, pod warunkiem Autoryzacji
Abonenta.
6. Operator może wymagać od Abonenta przedstawienia dokumentów
potwierdzających zaistnienie zmian, opisanych w pkt 5.
7. W razie niedopełnienia przez Abonenta obowiązków, wskazanych w
pkt 5 i 6, Operator może zawiesić świadczenie Usług
telekomunikacyjnych lub ograniczyć zakres świadczonych Usług
telekomunikacyjnych.
8. Zbywający Kartę SIM Abonent, który podał swoje dane Operatorowi
jest zobowiązany do pisemnego powiadomienia Operatora o tym fakcie.
Powiadomienie może mieć formę karty rejestracyjnej zawierającej dane
zbywcy Karty SIM.
9. Operator zastrzega sobie prawo do żądania stosownych informacji i
dokumentów od Abonenta w trakcie wykonywania Umowy, jeżeli podane
informacje dotyczące danych Abonenta budzą wątpliwości co do ich
prawdziwości lub gdy Abonent korzysta z usług Operatora niezgodnie z
Regulaminem
§ 10 Warunki świadczenia usług telekomunikacyjnych17. Działania, jakie Operator jest uprawniony podejmować w związku z
przypadkami naruszenia bezpieczeństwa lub integralności sieci
telekomunikacyjnej i usług telekomunikacyjnych:
17.1. W celu zapewnienia bezpieczeństwa przekazu komunikatów w
związku ze świadczoną usługą telekomunikacyjną, Operator podejmuje
środki techniczne i organizacyjne odpowiednie do stopnia zagrożenia
bezpieczeństwa świadczonej usługi telekomunikacyjnej.
17.2. W związku z przypadkami naruszenia bezpieczeństwa lub
integralności sieci telekomunikacyjnej lub usług telekomunikacyjnych
(np. w przypadku włamania na serwer sieciowy, rozpowszechniania
złośliwego oprogramowania) Operator jest uprawniony podejmować
wszelkie dozwolone prawem działania zmierzające do ograniczenia lub
eliminacji zagrożenia. W szczególności Operator uprawniony jest do:
a) informowania i ostrzegania Abonentów o występujących
bezpośrednich zagrożeniach związanych ze świadczeniem usług
telekomunikacyjnych;
b) ograniczenia lub zawieszenia świadczenia usług telekomunikacyjnych
na zakończeniu sieci telekomunikacyjnej, z którego następuje wysyłanie
komunikatów zagrażających bezpieczeństwu sieci telekomunikacyjnej
lub usług telekomunikacyjnych bądź eliminacji przekazu komunikatu,
który zagraża bezpieczeństwu lub integralności sieci lub usług
telekomunikacyjnych;
c) informowania innych przedsiębiorców telekomunikacyjnych i podmioty
zajmujące się bezpieczeństwem teleinformatycznym o
zidentyfikowanych zagrożeniach;
d) informowania Prezesa Urzędu Komunikacji Elektronicznej o
naruszeniach bezpieczeństwa lub integralności sieci lub usług
telekomunikacyjnych;
e) publikowania na stronie internetowej aktualnych informacji o
zagrożeniach, rekomendowanych środkach ostrożności, przykładowych
konsekwencjach braku lub niewłaściwego zabezpieczenia urządzeń
końcowych.