30 września 2021 wyciekły dane klientów z bazy danych totolotek.pl z dnia 21.07.2019. Były to bardzo wrażliwe dane takie jak: imię, nazwisko, login, email, data urodzenia, numer dowodu osobistego, PESEL, adres zamieszkania, numer rachunku bankowego, numer telefonu. Są to dane, których użycie może spowodować poważne straty finansowe. W tym artykule omówię jak temu zapobiec.

1. Oświadczenie Totolotek.pl

Klienci bukmachera totolotek otrzymali emailowe powiadomienie o wycieku ich danych wrażliwych. Pozwoliłem sobie pogrubić ważniejsze fragmenty:

Słoneczko z promieniami i uśmiechniętą buzią

Logo totolotek.pl po przejęciu przez grupę Gauselmann

Szanowna Pani / Szanowny Panie, Prosimy o przeczytanie ważnej wiadomości.

Z ustaleń prowadzonego przez nas postępowania wyjaśniającego wynika, że w dniu 30 września 2021 roku Totolotek S.A. padł ofiarą przestępstwa (cyberataku). W rezultacie tego ataku, doszło do zaszyfrowania części archiwalnych danych, dotyczących okresu sprzed 22 lipca 2019 roku. W chwili wykrycia nieprawidłowości nasze systemy IT zostały odłączone od sieci, celem zapobieżenia możliwości dostępu do danych Totolotek S.A. przez osoby nieuprawnione.

W ramach prowadzonego postępowania wyjaśniającego nie udało się wykluczyć możliwości, że osoby nieuprawnione mogły mieć dostęp do wskazanych poniżej danych. Kierując się troską o prywatność i bezpieczeństwo naszych klientów, przesyłamy więc niniejszą informację na temat danych, które mogły zostać ujawnione, możliwych konsekwencji ich ujawnienia oraz środków zaradczych, które można podjąć w celu zminimalizowania ryzyka z tym związanego.

Dane osobowe, do których dostęp mogły uzyskać osoby nieuprawnione, to dane archiwalne według stanu na dzień 21.07.2019 roku mogące obejmować: login, email, numer telefonu, imię, nazwisko, płeć, datę urodzenia, numer dowodu osobistego, PESEL, adres zamieszkania, numer rachunku bankowego.

W związku z tym, nie możemy wykluczyć, że Pani/Pana dane osobowe mogą być wykorzystane przez nieuprawnione osoby. Dane te mogą zostać użyte do (przykładowo) założenia konta w systemie informacji kredytowej, aby monitorować Pani/Pana aktywność kredytową, zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, założenia konta w serwisie społecznościowym, kierowania do Pani/Pana niezamówionych informacji handlowych drogą pocztową lub za pomocą poczty email.

Jest nam bardzo przykro z powodu tego zdarzenia. Chcielibyśmy podkreślić, że podjęliśmy przewidziane prawem kroki i powiadomiliśmy o tym zdarzeniu właściwe instytucje – w tym organy ścigania oraz Urząd Ochrony Danych Osobowych. Podjęliśmy także niezbędne działania, aby podobne zdarzenie nie miało miejsca w przyszłości. Totolotek S.A. podjął już następujące kroki w celu ograniczenia ewentualnych skutków ataku, tj. serwery zostały permanentnie odcięte od internetu, trwa także proces informatyczny mający na celu utrudnienie oraz uniemożliwienie nieuprawnionego dostępu w przypadku prób przyszłych ataków. Ponadto, zachęcamy Państwa do rozważenia możliwości podjęcia następujących czynności, w celu zminimalizowania ryzyka związanego z ewentualnym wykorzystaniem Państwa danych przez osoby nieuprawnione: regularnego zmieniania haseł do Państwa konta, nieotwierania wiadomości od nieznanych nadawców, sprawdzenia Państwa historii kredytowej, zastrzeżenia kont w odniesieniu do których możliwe było uzyskanie dostępu na podstawie ww. danych, zastrzeżenie dowodu osobistego oraz natychmiastowe poinformowanie Policji, jeśli powezmą Państwo informacje, że jakiekolwiek z tych danych zostały wykorzystane przez osoby trzecie.

Więcej informacji może Pan/Pani uzyskać pod adresem: [email protected], lub telefonicznie pod numerami +48 (022) 321 03 40 lub +48 507 002 393 lub +48 507 002 139.

2. Jak zabezpieczyć swoje dane przed oszustami?

Dowód osobisty służy weryfikacji tożsamości, a więc można przy jego pomocy wziąć pożyczkę w banku, wynająć samochód czy kupić komórkę na abonament. Zwykle sam dowód (lub jego skan) nie jest wystarczający, ale pozostałe dane oszuści mogą często znaleźć w Internecie.

Może się także zdarzyć, że ktoś wymyśli numer PESEL i będzie to akurat twój numer.

2.1. Jakie dane zdobyli hackerzy?

Przyjrzyjmy się jeszcze raz jakiego typu dane wyciekły z bukmachera Totolotek.pl:

  • imię (imiona) i nazwisko,
  • login,
  • email,
  • numer telefonu,
  • płeć,
  • data urodzenia,
  • numer dowodu osobistego, PESEL,
  • adres zamieszkania,
  • numer rachunku bankowego.

Warto się teraz zastanowić do czego mogą być one wykorzystane bez twojej wiedzy.
Gdybyś był przestępcą, to dlaczego byś jej wykorzystał?
Zawsze polecam rozważać sytuację z obu punktów widzenia toczonej rywalizacji.

 

2.2. Do czego mogą posłużyć dane oszustom?

  • założenia konta w systemie informacji kredytowej (aby monitorować Pani/Pana aktywność kredytową),
  • zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych,
  • założenia konta w serwisie społecznościowym,
  • kierowania do Pani/Pana niezamówionych informacji handlowych drogą pocztową lub za pomocą poczty email (SPAM),
  • próby odzyskania haseł w popularnych serwisach społecznościowych/finansowych/bukmacherskich.

2.3. Prewencja oraz przeciwdziałanie oszustom

Schemat postępowania przeciw wyłudzeniom:

  1. Zapobiegaj – wszystkie skany wysyłane elektronicznie opisuj datą i dla kogo zostały wysłane. W ten sposób nie będzie można użyć tego skanu w innym celu.
  2. Zastrzegaj przedawniony lub zgubiony dowód osobisty.
    Nie wystarczy wyrobienie nowego. Oszuści mogą użyć niezastrzeżonego a także starego (!) dowodu do wzięcia pożyczki.
  3. Raz na 6 miesięcy możesz darmowo sprawdzić informacje o swojej sytuacji kredytowej w BIK.pl (nie obejmuje wszystkich firm udzielających pożyczki) – trzeba założyć konto, kliknąć kopertę w prawym górnym rogu, wybrać temat wiadomości “Prawa wynikające z RODO” i wpisać: “Proszę o kopię danych na mój temat“. Płatne alerty BIK (ok. 24zł/rok) raczej nie mają sensu, bo nie zabezpieczają w 100%. Taniej będzie zastrzec dowód i od zaraz zacząć działać porządnie tym razem.
  4. Zastrzeż numer PESEL przed pożyczkami: BezpiecznyPesel.pl: do zastrzeżenia trzeba przesłać skan dowodu (zasłoń dane z wyjątkiem imiona/nazwisko/pesel/nr serii dowodu). Prawidłowe przesłanie dokumentów wyświetli komunikat z numerem sprawy: “Formularz został wysłany prawidłowo. Sprawa numer: [numer]“. Cofnięcie zastrzeżenia będzie wymagało kodu przesłanego na email (odzyskanie tylko pocztą tradycyjną).
  5. Jeśli przyszło Ci żądanie zapłaty za pożyczkę, której nie wziąłeś, czas na działanie! Wynajmij adwokata, zbierz dowody i dowiedz się od niego co dalej.
    Masz szczęście, bo jeszcze komornik nie zaczął zajmować majątku.
  6. Jeśli dowiedziałeś się o pożyczce, bo komornik zaczął zajmować Twój majątek, to masz 7 dni na wniesienie sprzeciwu.
    Sprawa jest trudna, ale nie beznadziejna. Trzeba szybko działać!
  7. [lista nie jest pełna i będzie uzupełniana w najbliższych dniach]

Zachęcam do zgłębienia tematu poprzez lekturę artykułów na niebezpiecznik.pl. Powinieneś na to poświęcić 1-5 dni.
Jeśli nie masz tyle czasu, to przeczytaj chociaż ten:

Ktoś wziął pożyczkę na moje dane. Muszę spłacić 20 000 złotych. Historia prawdziwa