|
Komunikat dotyczący naruszenia ochrony danych osobowych z dnia 17.02.2024 r. uzupełniony po wystąpieniu Prezesa Urzędu Ochrony Danych Osobowych z dnia 22.08.2024 r.
Zarząd spółki Procorol sp. z o.o. jako przedstawiciel administratora danych osobowych, informuje, iż w dniu 17.02.2024 r., w godzinach nocnych doszło do ataku hakerskiego na urządzenia informatyczne spółki Procorol sp. z o.o. na których znajdowały się zasoby cyfrowe spółki Procorol sp. z o.o. Przestępcy do ataku użyli oprogramowania typu ransomware - LockBit 3.0.
Współpracujący z nami specjaliści zdiagnozowali, że do ataku hakerskiego doszło poprzez wykorzystanie luki w zabezpieczeniach zintegrowanych urządzeń zabezpieczających, które miały za zadanie chronić przedsiębiorstwo, przed potencjalnymi atakami z zewnętrznej sieci publicznej Internet. Przestępcy wykorzystali lukę bezpieczeństwa w postaci zero-day czyli lukę w zabezpieczeniach oprogramowania naszego urządzenia, która jest nieznana producentowi oprogramowania w dniu ataku. Jako firma nie mieliśmy wpływu na to zdarzenie. Poprzez złamanie zabezpieczeń producenta, przestępcy dostali się do zasobów firmowych, w tym serwerów i dysków udostępnionych na których znajdowały się wszystkie dane firmy, w tym dane osobowe osób fizycznych zarówno klientów, klientów klientów jak i naszych pracowników.
Zdarzenie zostało zdiagnozowane przez nasz zespół informatyczny i zewnętrznego specjalistę ds. ochrony danych osobowych w pierwszym dniu roboczym następnego tygodnia tj. w dniu 19.02.2024 r. Wszystkie dane znajdujące się na serwerach spółki Procorol sp. z o.o., w tym dane osobowe osób fizycznych (naszych pracowników i klientów/kontrahentów Procorol sp. z o.o.), zostały zaszyfrowane (nie wiemy, czy zostały pobrane z naszych serwerów), a zdarzenie zostało zgłoszone następującym organom:
- Policja (Polska);
- Prezes Urzędu Ochrony Danych Osobowych (Polska);
- FBI (USA);
Z uwagi na fakt, iż w dniu 19.02.2024 r. Świat obiegła informacja o przejęciu kontroli nad stroną internetową i częścią zasobów grupy Lockbit, w operacji „Cronos” prowadzonej przez Brytyjską Narodową Agencję ds. Przestępczości (NCA) i amerykańskie Federalne Biuro Śledcze (FBI) nie jesteśmy w stanie jednoznacznie stwierdzić, czy dane naszych pracowników i klientów wyciekły poza zasoby spółki Procorol sp. z o.o., ponieważ przestępcy nie zdążyli przekazać swoich żądań, co do sposobu i metody płatności (oprócz lakonicznej informacji, pozostawionej na jednej z zaszyfrowanych maszyn, że w najbliższej przyszłości zażądają środków finansowych).
Ponadto zgodnie z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Zarząd spółki Procorol sp. z o.o. informuje:
Imię i nazwisko oraz dane kontaktowe osoby, z którą można się kontaktować w celu uzyskania większej ilości informacji związanej z naruszeniem:
Jeżeli mają Państwo jakiekolwiek pytania w związku z zaistniałym zdarzeniem, prosimy o kontakt z:
Izabella Macionga - Członek Zarządu
adres e-mail: rodo@corol.pl
Zakres kategorii danych objętych wyciekiem:
Pracownicy i współpracownicy administratora danych, a także klienci i klienci klientów administratora danych.
Zakres możliwych danych osobowych objętych wyciekiem:
Imiona, nazwiska, daty urodzenia, numery rachunków bankowych, adresy zamieszkania/pobytu, nr PESEL, adresy e-mail, nazwy użytkowników, dane dotyczące zarobków, seria i numer dowodu osobistego, numer telefonu, wizerunek i dane dotyczące zdrowia.
Opis możliwych konsekwencji:
Następstwem naruszenia Państwa danych osobowych mogą być sytuacje związane z wykorzystaniem danych osobowych takie jak:
a) osoby trzecie mogą próbować uzyskać na Pani/Pana szkodę pożyczki w instytucjach pozabankowych, na przykład przez Internet lub telefonicznie, nie wymagając okazania dokumentu tożsamości;
b) istnieje ryzyko, że osoby trzecie mogą próbować uzyskać nieuprawniony dostęp do systemów obsługujących udzielanie świadczeń medycznych, co umożliwiłoby im wgląd w Pani/Pana dane zdrowotne, wykorzystując np. numer PESEL do potwierdzenia tożsamości;
c) osoby trzecie mogą próbować wykorzystać Pani/Pana dane osobowe do próby różnego rodzaju wyłudzeń;
d) istnieje ryzyko, że osoby trzecie mogą próbować zawrzeć w Państwa imieniu, albo wykorzystując Pani/Pana dane osobowe umowy cywilno-prawne działając na Pani/Pana szkodę;
e) dane osobowe mogą być wykorzystane przez osoby trzecie do ukrycia swojej tożsamości i podszywania się pod Panią/Pana;
f) możliwość szykan i dyskryminacji z uwagi na stan zdrowia.
Wszystkie te działania mogą prowadzić do poważnych konsekwencji dla Pani/Pana bezpieczeństwa finansowego, prywatności i realizacji praw obywatelskich. Dlatego też należy zachować szczególną ostrożność, a w każdym przypadku, w którym w ciągu kilku najbliższych miesięcy dowiedzą się Państwo o naruszeniu Państwa prywatności prosimy o kontakt z nami.
Środki zastosowane przez administratora w celu zaradzenia naruszeniu:
W związku z zaistniałym naruszeniem ochrony danych osobowych zwróciliśmy się do specjalistów IT z prośbą o natychmiastowe odizolowanie infrastruktury, która została zaatakowana i rozpoczęcie procesu badania sprawy pod kątem możliwych działań związanych z przywróceniem środowiska produkcyjnego i wdrożenia dodatkowych środków zapewniających wzmożone bezpieczeństwo infrastruktury IT. Zweryfikowaliśmy również nasze procesy związane z ochroną danych osobowych, aby wprowadzić dodatkowe elementy kontroli, zwiększające bezpieczeństwo danych osobowych przetwarzanych zarówno w formie cyfrowej jak i tradycyjnej (papierowej). W chwili obecnej badamy sprawę, aby dowiedzieć się o wycieku jak najwięcej. Jednocześnie informujemy, iż współpracujemy z FBI w celu otrzymania szczepionki, a zaistniałą sytuację po dogłębnej analizie zgłosiliśmy do Prezesa Urzędu Ochrony Danych Osobowych. Dodatkowo z uwagi na zaistniałą sytuację zostają wdrożone dodatkowe środki mogące zaradzić zdarzeniom w przyszłości, a mające na celu ciągłe monitorowanie urządzenia Firewall i badanie anomalii pojawiających się na urządzeniu.
Środki minimalizujące negatywne skutki naruszenia:
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby Państwo:
a) ignorowali nieoczekiwane wiadomości, w szczególności od nieznanych nadawców;
b) zachowali ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów;
c) powiadamiali organy ścigania o bezprawnym posłużeniu się Państwa danymi osobowymi;
d) zastrzegli numer PESEL w aplikacji mObywatel;
e) założyli konto w systemie informacji kredytowej w Biurze Informacji Kredytowej w celu monitorowania prób uzyskania kredytu;
f) w przypadku szykan i dyskryminacji z uwagi na stan zdrowia mają Państwo możliwość skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach ustaw kodeks cywilny lub/i kodeks postępowania cywilnego.
-------
|
