10 maja 2020

„Dopuścili do wycieku danych, a teraz zachowują się tak, jakby nic się nie stało” – skarżą się klienci. Czy Fortum mogło zrobić więcej dla 137.000 „okradzionych” klientów?

„Dopuścili do wycieku danych, a teraz zachowują się tak, jakby nic się nie stało” – skarżą się klienci. Czy Fortum mogło zrobić więcej dla 137.000 „okradzionych” klientów?

Jestem smutny, gdy okazuje się, że porządna do tej pory firma zawiodła swoich klientów i nie ma im do zaoferowania nic poza dobrym słowem. Klienci firmy Fortum, fińskiego sprzedawcy gazu i prądu, padli ofiarą wycieku danych i na własny koszt muszą teraz zabezpieczać się przed skutkami potencjalnej kradzieży tożsamości. Czy naprawdę nie można było im pomóc?

Dane to dziś często cenniejszy „towar”, niż pieniądze. Danymi się handluje, mają wymierną wartość rynkową. Gdy nasze dane, powierzone usługodawcy, wyciekają, straty mogą być znacznie większe, niż gdybyśmy zgubili portfel z pieniędzmi. Portfel można odkupić, pieniądze znów zarobić, zaś tożsamość jest nie do podrobienia. W rękach złych ludzi to ryzyko, że na cudze dane zostaną wyłudzone kredyty, telefony albo zakupy internetowe.

Zobacz również:

Jesteśmy w tej dobrej sytuacji, iż w naszej części świata działa prawo o ochronie danych osobowych i firmy muszą informować o każdej sytuacji, w której zostały okradzione z powierzonych im danych. Zła wiadomość jest taka, że wciąż trudno wycisnąć w takiej sytuacji rekompensatę za stracony czas i pieniądze.

W połowie kwietnia ofiarami wycieku danych padli klienci firmy Fortum, skandynawskiego dostawcy prądu i gazu. Fortum jest jednym z nielicznych alternatywnych, niepaństwowych dostawców energii w Polsce. I zawsze miałem o tej firmie dobre zdanie, bo oferowała prąd i gaz taniej, promując przy tym ekologiczne nawyki.

Ale wpadki zdarzają się najlepszym. Fortum poinformowało kilka tygodni temu o potężnym wycieku kilku milionów danych należących do 137.000 jej klientów (zapewne firmowych i indywidualnych):

„Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i/lub numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O naruszeniu bezpieczeństwa powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych”

– poinformowała firma. I poprosiła klientów o „zwrócenie szczególnej uwagi na możliwe próby nieuprawnionego użycia” ich danych. W jaki sposób? A choćby poprzez próbę zdalnego założenia konta bankowego na fałszywe dane (takie konto mogłoby być wykorzystane do zaciągnięcia pożyczki i zniknięcia z kasą). Albo próbę wyłudzenia pieniędzy z firmy chwilówkowej działającej online.

To oczywiście nie jest tak elementarnie proste – a jeśli firmy finansowe stosują dobre praktyki weryfikowania klientów oraz „wywiadu”, to wręcz niemożliwe – ale wiemy, że nie wszystkie firmy finansowe w Polsce stosują najlepsze praktyki.

Koniecznie przeczytaj: Tutaj wszystkie informacje o tym jakie dane musi mieć złodziej, żeby na nasz rachunek zaciągnąć np. kredyt. I co trzeba zrobić, żeby się przed tym uchronić?

W związku z zaistniałą sytuacją prawie 140.000 osób w Polsce znalazło się w stanie potencjalnego zagrożenia. Ich dane krążą nie wiadomo gdzie i mogą być wykorzystane do jakichś ciemnych sprawek. Klienci zaczęli dopytywać firmę Fortum co mogą zrobić, żeby ograniczyć straty i firma rzetelnie im odpowiedziała, że mogą:

– zastrzec dowód osobisty i wystąpić o nowy

– wykupić usługi Alerty BIK oraz Bezpieczny PESEL

– zastrzec numer PESEL i „zamrozić się” kredytowo

– wykupić dostęp do bazy danych BIK i powiązanego z nim biura informacji gospodarczej

Alerty BIK i Bezpieczny PESEL oraz dostęp do bazy danych BIK to w sumie koszt najmarniej 150 zł, ale ochrona jest wtedy dość kompleksowa (dostajemy za każdym razem informację, gdy to banku lub firmy pożyczkowej przyjdą jacyś ludzie i spróbują posłużyć się naszymi danymi).

„Zamrożenie” kredytowe to też dobry pomysł – instytucje finansowe są poinformowane, że człowiek o takim, a takim numerze PESEL nie jest zainteresowany kredytami. Łatwiej więc wejdą w tryb podejrzliwości, gdyby ktoś po kredyt jednak się zgłosił.

Żadna z tych opcji nie jest 100-procentowo pewna, bo w Polsce firmy finansowe (ani inni usługodawcy) nie mają obowiązku zaciągania danych z baz, które mogą być naszym konsumenckim „kontrwywiadem”. Można więc ryzyko zmniejszyć, ale nie da się go całkiem wyeliminować.

————————————-

POSŁUCHAJ: NAJNOWSZY ODCINEK PODCASTU „FINANSOWE SENSACJE TYGODNIA”

Kliknij baner lub wejdź w ten link, aby posłuchać

————————————-

Jak do sprawy podeszło Fortum? Tak, jak każda firma w Polsce, która straciła kontrolę nad danymi klientów. Jest jej przykro i współczuje, ale żadnych kosztów klientom nie chce pokrywać.

„Czy rozważacie Państwo kwestię potencjalnego odszkodowania wypłacanego poszkodowanym przez firmę Fortum? Z powodu wycieku musiałam wykupić Alerty BIK i Raport BIK, a także wziąć dzień wolnego, aby pojechać na policję i do Urzędu Gminy. Z powodu niedochowania bezpieczeństwa danych osobowych przez Fortum jestem teraz stratna oraz narażam swoje zdrowie musząc odwiedzać urzędy. Co Państwo myślicie na ten temat?”

– pytają klienci w grupie fejsbukowej zrzeszającej „okradzionych” z danych klientów. Fortum odpowiada klientom, że jeśli z powodu wycieku padną ofiarą jakichś przestępstw, to firma „udzieli wszechstronnego wsparcia”. Ale kosztów wykupienia dostępu do instrumentów ochronnych pokryć nie chce. Choć przecież by mogła i pewnie dostałaby specjalny rabat za hurtowe zabezpieczenie klientów poprzez wykupienie im Alertów BIK.

Klienci mają też za złe, że mają kłopoty z rozstaniem się z firmą. Część klientów po prostu straciła zaufanie i chce zmienić dostawcę prądu i gazu:

„Za wszystko trzeba płacić. Ja pokryję koszty zabezpieczenia swojej tożsamości, chcę tylko zerwać umowę. Usłyszałam że wyciek danych nie daje do tego podstawy. Co robić?”

Fortum stosuje standardową zasadę obowiązującą u usługodawców w Polsce: „dopóki nie muszę, to nie płacę”. Że klienci stracili czas i pieniądze, żeby się zabezpieczyć na własną rękę? To trudno. Krytykowałem już takie podejście przy okazji wycieku danych klientów Virgin Mobile. I przypominałem, że po największym w historii wycieku danych klientów w USA „winowajca” wziął na siebie koszty wykupienia ludziom usług minimalizujących zagrożenie. Wciąż czekam, aż na taki gest zdobędzie się jakaś polska firma.

Czytaj też: Wyciekły dane pana Sebastiana. „To grozi kradzieżą tożsamości” – przyznaje telekom. I oferuje…

———————

Nie przegap nowych tekstów z „Subiektywnie o finansach” i korzystaj ze specjalnych porad Macieja Samcika na kryzysowe czasy – zapisz się na newsletter i bądźmy w kontakcie!

———————

5
Dodaj komentarz

avatar
3 Comment threads
2 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
metkorBdBMarekgosc Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
gosc
Gość
gosc

„Alerty BIK i Bezpieczny PESEL oraz dostęp do bazy danych BIK to w sumie koszt najmarniej 150 zł, ale ochrona jest wtedy dość kompleksowa (dostajemy za każdym razem informację, gdy to banku lub firmy pożyczkowej przyjdą jacyś ludzie i spróbują posłużyć się naszymi danymi).” Panie Macieju dyskusja na ten temat była 3 miesiące temu pod Pana artykułem o Virgin Mobile. Alerty BIK za 24 zł są wystarczające aby monitorować sytuację. Dodatkowo w tym momencie BIK ma promocje – można uruchomić Alerty BIK na 3 miesiące za darmo: https://www.bik.pl/klienci-indywidualni/alerty-bik Do tego można włączyć Zastrzeżenie Kredytowe BIK – to tylko 14 instytucji… Czytaj więcej »

metkor
Gość
metkor

Przy wycieku pesel/dowód osobisty alerty bik to tylko jeden krok. Najpoważniejsze działanie to zastrzeżenie dowodu osobistego i wymiana na nowy: a to koszt dodatkowy oraz czas. Kolejnym krokiem jest wędrówka do wszystkich instytucji w których jesteśmy klientami i dowód jest weryfikowany: zus, ofe, wszystkie banki gdzie mamy konto, ubezpieczalnie, media gospodarcze, telekomy… a to znowu czas i koszty. Za to każda firma która traci nasze dane powinna zapłacić bez szemrania.

gosc
Gość
gosc

Jeśli ktoś zakłada, że cyfryzacja ma tylko same zalety to jest w błędzie. W wyniku cyfryzacji jest coraz więcej wycieków danych. Decydując się na cyfryzację trzeba się liczyć z tym, że na co dzień zaoszczędzamy czas i pieniądze, ale czasem dojdzie do wycieków danych, kradzieży tożsamości itp. Wtedy stracimy co najmniej część zaoszczędzonego czasu i pieniędzy. W skrajnych przypadkach może się okazać, że cyfryzacja przyniosła nam więcej szkód niż pożytku.

Marek
Gość
Marek

Jeśli spółka doprowadziła do przestępczego zagarnięcia danych osobowych (np. w wyniku nieprzestrzegania zasad bezpieczeństwa), wówczas ponosi odpowiedzialność za skutki następcze. Może się uwolnić od odpowiedzialności (ją minimalizować), jeżeli wykaże, że po wycieku niezwłocznie podjęła właściwe działania (uzasadnione okolicznościami, choćby okazały się bezskuteczne) w celu uniknięcia uszczerbku w majątku osób, których dane ukradziono. Jeśli tego nie zrobi (nie udowodni, że robiła, co mogła), wówczas poszkodowany będzie mógł dochodzić odszkodowania, gdyby jego dane posłużyły do np. przestępstwa. Tak to rozumiem.

BdB
Gość
BdB

„zastrzec PESEL” – to bardzo szkodliwy skrót myślowy. Jest to jedynie zgłoszenie w jakiejś firmie (z której też dane mogą wyciec, a wymaga skanów dokumentów), że nie chcemy brać pożyczek i jest to skuteczne w firmach pożyczkowych współpracujących z nią (mniej niż 10% wszystkich zarejestrowanych w Polsce).

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss top-search top-menu