Kraków, 2024-08-13

Szanowni Państwo,

Informujemy, że doszło do incydentu, który mógł skutkować nieuprawnionym dostępem do niektórych Państwa danych osobowych. Nasz zespół natychmiast podjął działania mające na celu zminimalizowanie potencjalnych skutków tego zdarzenia. Na chwilę obecną nie mamy dowodów na to, że Państwa dane zostały pobrane lub w inny sposób wykorzystane. Mimo to, w trosce o Państwa bezpieczeństwo podjęliśmy niezwłocznie działania, aby ograniczyć potencjalne ryzyko. Biorąc powyższe pod uwagę, zgodnie z obowiązującymi przepisami prawa, przesyłamy do Państwa formalną informację o potencjalnym naruszeniu poufności danych. Zdajemy sobie sprawę, że załączona poniżej treść może budzić Państwa niepokój, ale postępujemy zgodnie z wytycznymi Urzędu Ochrony Danych Osobowych. Do każdej ze wskazanych poniżej potencjalnych konsekwencji powinno się podchodzić analizując prawdopodobieństwo jej wystąpienia, a w wielu wypadkach może ono być niskie, bardzo niskie, a czasem całkowicie teoretyczne.

Jeśli byli Państwo klientami innych spółek należących do Holding1, otrzymają Państwo podobne powiadomienie dotyczące tego samego incydentu.

POWIADOMIENIE O MOŻLIWYM NARUSZENIU OCHRONY DANYCH OSOBOWYCH

Działając w imieniu AUTOPUNKT NS Spółka z ograniczoną odpowiedzialnością Sp.k. (dalej zwany Administratorem) - Administratora Państwa danych osobowych, w związku z obowiązkami wynikającymi z tzw. rozporządzenia RODO*, zawiadamiam o możliwym naruszeniu ochrony Państwa danych osobowych.

Opis zdarzenia

Zdarzenie polegało na tym, że nieznani sprawcy w dniu 14.07.2024 r. poprzez przełamanie stosowanych przez zabezpieczeń teleinformatycznych otrzymali dostęp do części infrastruktury IT. Administrator zareagował na atak natychmiastowo odcinając dalszą możliwość ingerowania w infrastrukturę Spółki. Atak dotyczył serwerów, na których były zainstalowane systemy operacyjne do obsługi klientów. Atakujący mogli uzyskać dostęp do Państwa danych osobowych tj. imię, nazwisko, adres, numer telefonu, numer PESEL, adres e-mail, nr rej samochodu, nr VIN, data urodzenia.

W związku z powyższym, zgodnie z wymaganiami RODO, przedstawiamy Państwu zbiorczo, wszelkie niezbędne informacje:

Dane Inspektora Ochrony Danych Osobowych:

Inspektorem Ochrony Danych Osobowych wyznaczonym przez Administratora jest Krzysztof Bielawski, z którym mogą Państwo skontaktować się drogą elektroniczną (na adres: [email protected]) lub pisemnie, przesyłając korespondencję na adres: ul. Puszkarska 7F / bud. A, 30-644 Kraków z dopiskiem: „Inspektor ochrony danych osobowych”. Inspektor Ochrony Danych Osobowych jest właściwy do udzielenia Państwu wszystkich dalszych informacji dotyczących zaistniałego incydentu.

Możliwe konsekwencje naruszenia ochrony danych osobowych:

Naruszenie poufności danych, w szczególności dotyczących numeru PESEL wraz z imieniem i nazwiskiem, adresem korespondencyjnym, wiąże się z wysokim ryzykiem naruszenia Państwa praw i wolności w związku z czym poniżej informujemy Państwa o możliwych konsekwencjach nieuprawnionego wykorzystania danych.

Potencjalnymi konsekwencjami naruszenia jest utrata kontroli nad danymi osobowymi.

Wykradzione dane mogą zostać wykorzystane m.in. do:

• uzyskania przez osoby trzecie na Państwa szkodę kredytów lub pożyczek w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w szybki i łatwy sposób np. telefonicznie lub przez Internet bez konieczności okazywania dokumentu tożsamości, chyba że Państwo mają zastrzeżony numer PESEL.
• uzyskania przez osoby trzecie na Państwa szkodę kredytów w instytucjach bankowych. Dostęp do nr PESEL stwarza możliwość utworzenia fałszywej tożsamości sygnowanej prawdziwym numerem PESEL, która może umożliwić zawarcie umowy kredytowej na Państwa szkodę, chyba że Państwo mają zastrzeżony numer PESEL.

W ramach wskazanych powyżej możliwych dwóch konsekwencji finansowych sugerujemy zapoznanie się z artykułem na stronie internetowej Biura Informacji Kredytowej (adres: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci; dostęp z 5.09.23 r.), gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”.

• uzyskania przez osoby trzecie, dostępu do korzystania z przysługujących Państwu świadczeń opieki zdrowotnej oraz dostępu do danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefoniczne potwierdzając swoją tożsamość za pomocą nr PESEL, co w konsekwencji może prowadzić do dyskryminacji Państwa w związku z ujawnieniem szczególnej kategorii danych - dane dotyczące zdrowia (możliwość naruszenia Państwa dóbr osobistych, którym są informacje o Państwa stanie zdrowia);
• korzystania z Państwa praw obywatelskich, np. do głosowania nad środkami budżetu obywatelskiego. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osoby oddającej swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL;
• zawarcia umowy o świadczenie usług, takich jak np. telewizja kablowa, telefon, Internet, a następnie zaprzestania opłacania rachunków i spowodowanie zadłużenia;
• wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje w postaci problemów związanych z próbą przypisania Państwu odpowiedzialności za dokonanie takiego oszustwa;
• zarejestrowania przedpłaconej karty telefonicznej (pre-paid) która może posłużyć do celów przestępstwa;
• przetwarzania danych osobowych w celach marketingowych, bez uprzedniego uzyskania Państwa zgody;
• sfałszowaniu Państwa tożsamości polegającego na podszywaniu się osób trzecich pod Państwa osobę, np. poprzez wyrażenie przez te osoby w Państwa imieniu opinii w mediach społecznościowych lub na forach internetowych albo uczestnictwo w internetowych ankietach/konkursach/wydarzeniach, niebędących anonimowymi, co może skutkować naruszeniem Państwa dobrego imienia, a także negatywnym odbiorem społecznym Państwa osoby w wyniku opublikowanych treści przez osobę trzecią w opisywanej sytuacji.

Proszę także pamiętać, że w przypadku uzyskania informacji o wszelkich próbach „kradzieży tożsamości”, tj. prób podszycia się pod Państwa w celu uzyskania korzyści, w tym korzyści majątkowych, należy niezwłocznie poinformować o tym fakcie policję.

Środki zastosowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych oraz środki podjęte w celu zminimalizowania jego ewentualnych negatywnych skutków:

• Wymuszono zmianę haseł dla wszystkich kont użytkowników.
• Zmieniono hasła dla kont administracyjnych różnych systemów.
• Zmieniono hasło oraz login wbudowanych, lokalnych kont administracyjnych.
• Wykonano audyt wewnętrzny.
• Zaostrzono polityki na Firewall w kontekście wyjścia na świat dla systemów wewnętrznych.
• Wdrożono system klasy EDR, XDR.
• Uruchomiono monitoring ruchu DNS.
• Planowane wdrożenie systemu zarządzania podatnościami i patch managementu.

Administrator stosuje cały szereg zabezpieczeń na różnych poziomach.

Zabezpieczenia technologiczne:

• Zintegrowany system bezpieczeństwa dla stacji roboczych zapewniający podstawową ochronę danych przed zagrożeniami płynącymi z cyberprzestrzeni. System działa w oparciu o sygnatury oraz algorytmy producenta.
• Anty SPAM – narzędzie poczty elektronicznej Office 365 filtrujące niechciane treści.
• Zmieniono hasło oraz login wbudowanych, lokalnych kont administracyjnych.
• VPN sprzętowy i programowy – system bezpiecznej komunikacji zdalnej z infrastrukturą Spółki dla Pracowników, Współpracowników oraz Wykonawców.
• Backup – system kopii zapasowych.
• Redundantne łącza internetowe – zabezpieczenie dostępu do Internetu za pomocą dwóch łączy od ISP (światłowód i radio).
• Dostęp uprzywilejowany do serwerów dla partnerów zewnętrznych z wykorzystaniem narzędzia klasy PAM (SenhaSegura).
• Cisco FirePower - firewall z mechanizmem analizy ruchu.
• Uwierzytelnianie wieloskładnikowe (MFA).
• DLP – mechanizm skanujący pocztę pot kontem wycieku zdefiniowanych w regułach informacji.
• CA – conditional access - dostęp warunkowy do usług Office 365.
• Narzędzie ochrony poczty elektronicznej przez złośliwym oprogramowaniem pozwalające na wykrycie złośliwego kodu w załącznikach do poczty oraz linkach zawartych w wiadomościach.

Zabezpieczenia organizacyjne:

• Struktura organizacyjna IT.
• Szkolenia On-boardingowe IT.
• Szkolenia cykliczne dotyczące bezpieczeństwa przetwarzania danych osobowych.

Zabezpieczenia regulacyjne:

• Polityka haseł użytkowników AD.
• Polityka dostępu do pomieszczeń IT.
• Polityka i harmonogram backupu.
• Polityka dostępu do sieci firmowej poprzez VPN.
• Zasady przyznawania uprawnień lokalnego administratora.

Zalecenia dla Państwa, w celu zminimalizowania ewentualnych skutków naruszenia:

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia danych zalecamy podjęcie następujących działań, które uchronią Państwa przed potencjalnym zagrożeniem nielegalnego wykorzystania danych:

• zastrzeżenie numery PESEL w aplikacji mObywatel, w urzędzie gminy, w placówce pocztowej lub bankowej,
• dokładne sprawdzenie osób lub podmiotów, które będą próbowały uzyskać od Państwa dane osobowe,
• zachowanie szczególnej ostrożności, w przypadku, gdy osoba, firma, instytucja lub inny podmiot posiadający Państwa numer PESEL lub jakiekolwiek inne dane, które pozwalają na identyfikację, będzie próbowała uzyskać od Państwa dodatkowe dane,
• założenie konta w systemie informacji kredytowej celem monitorowania próby wyłudzenia kredytu przy użyciu Państwa danych, np. Alerty BIK - ochrona przed wyłudzeniem kredytu.

Podjęcie powyższych działań przyczyni się do zabezpieczenia przed potencjalnie nielegalnym wykorzystaniem Państwa danych osobowych. Informujemy również, że powyższy incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych, do organów ścigania oraz do CERT.

W przypadku dodatkowych pytań zapraszamy do kontaktu z Inspektorem Ochrony Danych.