Cyberprzestępcy wykradli dane osobowe z poznańskiego magistratu

Temat dnia

Krzysztof Sobczak

RODO Administracja publiczna

Aktualności

Data dodania: 27.04.2023

Źródło: iStock

Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie Urzędu Miasta Poznania w sprawie naruszenia ochrony danych osobowych. Chodzi o usługę wysyłki na wskazane przez klientów numery komunikatów np. w związku z rezerwacją wizyt w urzędzie, czy powiadomieniem o odbiorze dokumentów. Według poznańskiego magistratu za sprawą stoją cyberprzestępcy.

Władze miasta podały, że w bazie danych, do której dostęp uzyskali cyberprzestępcy znajdowały się numery telefonów około 30 tys. osób oraz treści urzędowych komunikatów, które nie zawierały danych osobowych. Rzecznik prasowy UODO, który poinformował o wpłynięciu tego zgłoszenia podkreślił, że "istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową".

Czytaj w LEX: Kiedy zgłaszać naruszenie przepisów o ochronie danych osobowych? >

Zdarzenie 19 kwietnia, informacja publiczna kilka dni później

Dyrektor zarządzający SerwerSMS Daniel Zawiliński poinformował PAP, że 19 kwietnia potwierdzone zostało, że w systemie miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych klientów biznesowych. - W wyniku tego ataku nie stwierdziliśmy uzyskania dostępu do kont naszych klientów - podał. Miasto poinformowało w środę, że pracownik Urzędu Miasta Poznania otrzymał zawiadomienie o incydencie 20 kwietnia. Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP Michał Łakomski pytany o to, dlaczego informacja do mieszkańców o incydencie została przekazana 25 kwietnia, podkreślił, że komunikat o zdarzeniu został przesłany do mieszkańców "niezwłocznie po uzyskaniu niezbędnych informacji w sprawie".

Czytaj w LEX: Postępowanie przed Prezesem Urzędu Ochrony Danych – podstawowe informacje i rodzaje postępowań >

Czytaj: Firma ukarana za spóźnione powiadomienie UODO o wycieku danych>>

Możliwe zagrożenie

Rzecznik UODO poinformował, że w przypadkach, gdy istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych administrator o sytuacji poinformował również osoby, których te dane dotyczą. Wyjaśnił, że takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

Czytaj w LEX: Wypełnienie obowiązków informacyjnych wobec osoby, której dane dotyczą >

Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP przyznał, że skradzione numery telefonów mogą zostać wykorzystane przez sprawców ataku hakerskiego m.in. do ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.

Zobacz wzory dokumentów w LEX:

ks/pap

RODO Administracja publiczna

Aktualności

Data dodania: 2023-04-27