Firma telekomunikacyjna Virgin dopuściła do wycieku danych osobowych swoich klientów. Jeden z nich poprosił o zwrot kosztów zakupu usług chroniących jego tożsamość i pieniądze. Co na to Virgin? „Nie przewidujemy żadnych rekompensat, bo nie doszło do żadnej szkody”. Naprawdę? A poczucie bezpieczeństwa?
Kilka tygodni temu głośno było o wycieku danych osobowych klientów operatora telekomunikacyjnego Virgin Mobile. Część klientów otrzymała wiadomość o tym, że „doszło do nieuprawnionego dostępu do systemów spółki i ujawnienia danych części klientów”.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Wśród danych, które wpadły w niepowołane ręce, były nazwiska, numery PESEL i numery dokumentu tożsamości. Vigrin Mobile poradził klientom: „Prosimy uważać na próby wyłudzenia danych”. I uspokoił: „Podjęliśmy działania zabezpieczające”
Niektórzy klienci otrzymali też od operatora prośby o ustawienie dodatkowych zabezpieczeń w bankach, w których korzystają z dostępu do konta przez internet oraz o zastrzeżenie dowodów osobistych. W sumie problem dotknął mniej więcej co dziesiątego klienta Virgin, korzystającego z oferty prepaid (klienci abonamentowi podobno pozostali „nienaruszeni”).
Klienci Virgin Mobile oczywiście nie mieli innego wyjścia, jak przyjąć do wiadomości, że ich dane wyciekły. Mleko się rozlało. Ale część z nich – ci najbardziej świadomi – postanowili podjąć też działania zabezpieczające i zmniejszające ryzyko wykorzystania ich danych np. do wyłudzenia kredytu lub pożyczki na ich dane.
Wśród tych działań „osłonowych” można wymienić m.in. wykupienie usługi Alerty BIK (informuje, gdy ktoś spróbuje wnioskować o kredyt posługując się naszymi danymi) oraz działającej podobnie usługi Bezpieczny Pesel. Można też zgłosić się do usługi Zastrzeżenie Kredytowe, czyli poinformować banki (niestety, na razie udział w projekcie biorą tylko nieliczne z nich), że nie zamierzamy zaciągać w najbliższym czasie żadnych nowych zobowiązań.
Kłopot w tym, że to wszystko kosztuje. Najpełniejszy pakiet usług BIK to koszt rzędu 99 zł, a więc kwota zauważalna w każdym budżecie domowym. Jeden z moich czytelników, pan Kamil z Kielc, poprosił Virgin o pokrycie tych kosztów.
„W nawiązaniu do otrzymanej od Państwa wiadomości podjąłem rekomendowane przez Państwa kroki zapobiegające wyłudzeniom, tj. aktywowałem usługę bezpiecznypesel.pl, a także Alerty Biura Informacji Kredytowej, złożyłem też Zastrzeżenie Kredytowe. Te działania przeciwdziałają wyłudzeniu na moje nazwisko kredytu przy użyciu moich danych osobowych, których Państwo nie upilnowaliście. Poniżej załączam potwierdzenia opłacenia usług. W związku z tym proszę o zwrot kosztów na poniższy numer konta (…)”
Każda poczuwająca się do odpowiedzialności za spowodowane przez siebie kłopoty firma powinna uwzględnić prośbę klienta, który postanowił na własną rękę podjąć działania zabezpieczające. Ale nie Virgin. Odpowiedź pan Kamil otrzymał następującą:
„Virgin Mobile Polska niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami, złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO, złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania. Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane. W związku z tym nie ma konieczności podejmowania dodatkowych procedur zabezpieczających ze strony abonentów”
Virgin napisał też, że nie ingeruje w dodatkowe procedury realizowane przez abonentów z ich własnej inicjatywy. Czyli, że jeśli klient ma kaprys wydać pieniądze np. na Alerty BIK, to niech wydaje, ale Virgin nie uważa, by było to uzasadnione.
„Nie przewidujemy żadnych form rekompensat, ponieważ w wyniku incydentu bezpieczeństwa nie doszło do powstania szkody po Pana stronie, nie ma podstaw do żądania rekompensaty. Spółka nie ponosi winy za atak hakerski”
Powiem szczerze: to jest rozczarowujące. Virgin może i nie ponosi winy za to, że został zaatakowany, ale ponosi odpowiedzialność za skutki tego ataku. A jakieś niemiłe skutki mogą być, skoro firma zaleciła np. zastrzeganie dowodów osobistych oraz ustawianie dodatkowych haseł w bankach.
Niezależnie od tego, na ile poczucie zagrożenia zgłoszone przez klienta było realne, a na ile wyimaginowane, to jego przyczyną był wyciek danych. Pakiet działań zabezpieczających przed wyłudzeniem pieniędzy, które podjął klient, był rozsądny. Klient zakupił standardowe usługi, które w takich sytuacjach się wykupuje. Każdy ekspert w dziedzinie ochrony danych i pieniędzy przed wyłudzeniem doradziłby właśnie takie rozwiązania.
W cywilizowanym świecie nie dyskutuje się nad tym, czy klient ma rację, że się boi z powodu błędu swojego usługodawcy, tylko przyjmuje się ten fakt do wiadomości i udziela się klientowi wsparcia. Zwłaszcza jeśli klient nie wydziwia, tylko podejmuje standardowe działania w takich sytuacjach.
Czytaj też: Czym jest kradzież tożsamości i jak się przed nią bronić?
Czytaj też: Jak chronić swoją wiarygodność kredytową i reputację uczciwego płatnika?
Czytaj też: Niebezpiecznik.pl o wycieku danych z Virgin Mobile
Pamiętam ogromny wyciek danych z firmy finansowej Equifax. Tam problem był nieporównanie większy – to był gigantyczny wyciek danych wielu milionów klientów – ale firma zachowała się nieporównanie lepiej. Cytuję:
„Oprócz rekompensaty pieniężnej dla osób, które mogą udowodnić, że bezpośrednio straciły czas lub pieniądze w wyniku wycieku danych, wszyscy poszkodowani konsumenci będą mieli możliwość skorzystania przez cztery lata z usług „monitoringu kredytowego” oferowanego przez firmę Experian lub zwrotu kosztów takiego monitoringu zakupionego indywidualnie (125 dolarów). Poza tym każda ofiara wycieku danych otrzymuje możliwość pobrania sześciu bezpłatnych raportów kredytowych rocznie”
Ponadto firma zobowiązała się do bezpłatnego finansowania przez siedem lat pomocy w rozwiązywaniu przez klientów ich problemów związanych z oszustwami lub kradzieżą tożsamości, do którego mogłoby dojść z powodu wycieku danych.
„Nieudolność, zaniedbanie i luźne standardy bezpieczeństwa tej firmy stanowiły zagrożenie dla tożsamości połowy populacji USA. Firma nie tylko zapłaci odszkodowanie milionom ofiar naruszenia danych, ale także zapewni każdemu narzędzia potrzebne do walki z kradzieżą tożsamości”
– komentowała sprawę prokurator generalna Nowego Jorku. Powtarzam: nie chodzi o to na ile realne jest zagrożenie bezpieczeństwa klienta. Dla firmy, która dopuściła do wycieku danych, powinno się liczyć subiektywne odczucie klienta w zaistniałej sytuacji. A jej obowiązkiem powinno być pokrycie wszelkich uzasadnionych kosztów związanych z poprawianiem subiektywnego poczucia bezpieczeństwa klienta.
Wydziwianie, dyskutowanie, udowadnianie klientowi, że się nie zna, odgrażanie się, że „nic nie będziemy płacić, bo to jest bez sensu” – to wszystko źle świadczy o podejściu firmy do klienta. Proszę „telekomunikacyjną dziewicę”, żeby przemyślała swoje postępowanie.
