Atak cybernetyczny – ujawnienie numeru telefonu pracowników Urzędu

Szanowni Państwo!

Przekazujemy informację na temat cyberincydentu otrzymaną z Krajowej Izby Rozliczeniowej.

Dzień dobry,

w związku z incydentem, dotyczącym ujawnienia numeru telefonu, poniżej przekazujemy informacje ważne dla naszych Klientów.

W komunikacji towarzyszącej procesowi zakupu certyfikatu podpisu elektronicznego w KIR, korzystamy z usług operatora telekomunikacyjnego – firmy, która pośredniczy w przekazywaniu wiadomości SMS do naszych Klientów. W dniu 20 kwietnia 2023 r. zostaliśmy  poinformowani o cyberincydencie, dotyczącym archiwalnej bazy danych operatora. W bazie tej znajdowały się dane niektórych Klientów KIR, o zakresie ograniczonym do numeru telefonu oraz treści wiadomości tekstowej.

Taki zakres danych uniemożliwia identyfikację użytkownika, co oznacza, że prywatność naszych Klientów pozostała nienaruszona. Tym nie mniej, ponieważ incydent był spowodowany celowym działaniem, istnieje prawdopodobieństwo wykorzystania pobranego numeru telefonu do przesłania wiadomości SMS, podszywającej się pod inny podmiot, w szczególności pod KIR. Celem takiej komunikacji jest wyłudzenie innych danych, które mogą posłużyć do praktyk przestępczych.

Mając na uwadze powyższe, w imieniu Krajowej Izby Rozliczeniowej S.A., przekazuję informacje dotyczące działań, jakie w związku z zaistniałym incydentem podjęliśmy po naszej stronie. Podaję też propozycje innych działań, których podjęcie sugerujemy naszym Klientom.

Co zrobiliśmy w KIR?

Niezwłocznie po otrzymaniu informacji o incydencie wzmocniliśmy procedury bezpieczeństwa oraz przeprowadziliśmy analizę zakresu naruszonych danych i okresu, którego zdarzenie dotyczy. Równolegle zgłosiliśmy zaistniałe zdarzenie do Prezesa Urzędu Ochrony Danych.

Ze względu na ryzyko potencjalnych prób wyłudzenia danych, zawiadamiamy również wszystkich naszych Klientów, których ten incydent może dotyczyć.

Co jeszcze warto zrobić?

Prosimy o zachowanie ostrożności i rozwagi przy podawaniu danych osobowych. Dotyczy to szczególnie przekazywania danych za pośrednictwem Internetu lub przez telefon. W SMSach, dotyczących certyfikatów zakupionych w KIR nie zamieszczamy aktywnych linków i nie prosimy o podanie dodatkowych danych Klienta. Proszę pamiętać o tym, że Klienci decydując się na zakup podpisu elektronicznego, podają nam pełen zakres danych, które są niezbędne do realizacji usługi.

Prosimy o natychmiastowe przekazanie nam informacji o otrzymaniu każdej podejrzanej wiadomości SMS, jakoby przesłanej przez KIR.

Ponadto, zgodnie z rekomendacją Prezesa Urzędu Ochrony Danych Osobowych, informujemy o możliwości założenia konta w Biurze Informacji Kredytowej (https://www.bik.pl/) w celu monitorowania ewentualnych prób uzyskania kredytu w oparciu o ujawnione dane osobowe.

Więcej informacji

Jeśli w związku z tym incydentem cokolwiek wymaga wyjaśnienia lub pojawią się jakiekolwiek dodatkowe okoliczności, o których powinniśmy wiedzieć, prosimy o niezwłoczny kontakt. Jesteśmy do Państwa dyspozycji pod adresem email: kontakt@kir.pl lub nr telefonu 22 545 55 55.

Z Inspektorem ochrony danych w KIR można się skontaktować wysyłając wiadomość email na adres: iod@kir.pl; korespondencyjnie na adres: Krajowa Izba Rozliczeniowa S.A., ul. rtm W. Pileckiego 65, 02-781 Warszawa (z dopiskiem „Ochrona danych osobowych”) lub telefonicznie na numer 695 193 002.

Z poważaniem

Inspektor Ochrony Danych Osobowych w KIR

Andrzej Rutkowski

Źródło:

Informacja przekazana pocztą elektroniczną 25 kwietnia 2023 r. o godz. 21:27