7 lutego 2022

Wyciek danych z Open Life. Firma się martwi i ostrzega klientów: „ktoś może wziąć kredyt albo skorzystać z usług zdrowotnych”. Czy to pismo załatwia sprawę?

Wyciek danych z Open Life. Firma się martwi i ostrzega klientów: „ktoś może wziąć kredyt albo skorzystać z usług zdrowotnych”. Czy to pismo załatwia sprawę?

Jest wyciek danych z firmy ubezpieczeniowej Open Life – informują nas przestraszeni czytelnicy. Ale to nie było ani włamanie na serwery firmy, ani wirus, ani atak hakerski, ani nawet Pegasus. To był… „nadaktywny pracownik Open Finance”. Czy bankrutujący pośrednik finansowy będzie nas jeszcze przez lata straszył zza grobu? I czy firma Open Life nie powinna lepiej zaopiekować się klientami, którzy stracili mnóstwo danych i są zagrożeni kradzieżą tożsamości?

Wszystko wskazuje na to, że nastąpił niemały wyciek danych z firmy ubezpieczeniowej Open Life. Dostaliśmy od klientów kopie pism, w których Open Life informuje, iż w spółce-matce ubezpieczyciela, czyli Open Finance doszło do grubych nieprawidłowości. A konkretnie Open Life uprzejmie informuje klientów, że wyciekły ich dane osobowe.

Zobacz również:

Kiedy z firmy ubezpieczeniowej giną dane, to z definicji jest grubo. Bo ubezpieczyciele mają dużo wrażliwych informacji na nasz temat – a także na temat osób uposażonych w ramach zakupionych przez nas polis. Od razu przed oczami przechodzi mi sytuacja, w której ktoś nieuprawniony wykorzystuje np. informację o moim stanie zdrowia. W tym przypadku chyba aż tak źle nie będzie, ale…

Wiadomo, że lepiej zapobiegać (wyciekowi danych) niż leczyć (skutki wycieku), jednak tym razem coś poszło nie tak. I wielu klientów Open Life przeżyło niemały stres, otwierając pismo od firmy ubezpieczeniowej, która przyznała, że straciła ich dane. Kolejny raz przekonujemy się, że firmy finansowe nie radzą sobie z profilaktyką. Może to czas żeby zaczęły ponosić finansowe tego konsekwencje?

Dziwny wyciek danych z Open Life. W tle „nadaktywność” Open Finance

Po wprowadzeniu słynnego RODO (Rozporządzenia o Ochronie Danych Osobowych) mieliśmy mieć spokojny sen. Zakaz skanowania dowodów osobistych, wysokie kary za wykorzystywanie naszych danych bez zezwolenia i szybka ścieżka informowania o nadużyciach – no i każda firma musi wyznaczyć inspektora danych osobowych, który odpowiada za pilnowanie, żeby nie doszło do naruszenia dostępu do naszych danych.

Ale – z RODO czy bez RODO – naruszenia się zdarzają. Gdyby nie było RODO, żadna firma z własnej woli zapewne nie informowałaby swoich klientów, że ktoś ukradł ich dane. Dzięki RODO mają taki obowiązek. Ostatnio „pismo prawdy” dostał od Open Life nasz czytelnik, pan Marek. Firma w liście informuje, że doszło do wycieku jego danych. I żeby klient w związku z tym przygotował się na najgorsze. Co dokładnie?

  • uzyskanie przez osoby trzecie na jego szkodę kredytów w instytucjach pozabankowych;
  • uzyskanie dostępu do świadczeń opieki zdrowotnej, które mu przysługują;
  • korzystanie z jego praw obywatelskich, np. wykorzystanie danych do oddania głosu w głosowaniu nad budżetem obywatelskim;
  • rejestracji numeru telefonicznego na jego dane (karta pre-paid);
  • zakupu dowodu kolekcjonerskiego na jego dane

Czytaj też: Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi chronić. I dwa pomysły na skuteczny „kontrwywiad”

Pismo datowane jest na koniec stycznia, a do wycieku doszło 23 grudnia. Czyli do momentu otrzymania przez klienta – oraz wielu innych klientów – listu złodzieje mieli miesiąc, w czasie którego mogli bezkarnie korzystać z danych naszego czytelnika. I nie tylko. Firma ostrzega, że warto powiadomić o wycieku danych również osoby uposażone na polisie. Open Life nie ma ich wszystkich danych kontaktowych (więc nie może ich powiadomić na własną rękę), ale prawdopodobnie dane, które wyciekły, również im mogą przysporzyć problemów.

wyciek danych open life
Wyciek danych open life

Jak do tego doszło? To nie był żaden atak hakerski, ale działalność pracownika. Open Life ustaliło, że 23 grudnia jeden z pracowników spółki-matki, czyli Open Finance, przy pomocy dedykowanej aplikacji na smartfona, przeglądał sobie dane polis klientów Open Life. I prawdopodobnie je kopiował.

Firma wyłapała nietypową aktywność i zablokowała mu dostęp do danych. Ale to nie był przypadek, bo pracownik Open Finance wykorzystał dane logowania kolegi. Open Life nie pisze czy poniósł konsekwencje (służbowe i prawne), ale na pocieszenie informuje, że nie doszło do przełamania zabezpieczeń aplikacji i ani do zastosowania złośliwego oprogramowania. Łzy wzruszenia zalewaja mi oczy.

Historia jest o tyle ciekawa, że dwa tygodnie później Open Finance ogłosił, że składa wniosek o upadłość, a wkrótce potem ogłosił, że zwalnia prawie wszystkich pracowników. Być może ten konkretny pracownik wiedział co się święci i szukał dla siebie „spadochronu”, w postaci bazy danych o klientach „bratniej” firmy, którą można sprzedać złodziejom pieniędzy?

Firma informuje, ubolewa i… co z tego?

W tej sprawie bulwersujące są dwie rzeczy. Po pierwsze – jak to możliwe, że pracownik pośrednika finansowego mógł uzyskać wgląd do baz danych klientów firmy ubezpieczeniowej? Co jak co, ale takich danych trzeba pilnować jak oka w głowie. Że w Open Finance zawsze panował duży bałagan to wiemy – inaczej firma pewnie by nie zbankrutowała. Ale że w Open Life też – to nowość. Firma tłumaczy w piśmie do klientów, że pracownik miał dostęp do danych na podstawie umowy agencyjnej w celu prowadzenia obsługi posprzedażowej.

Wyciek danych z open life
Wyciek danych z Open Life

Po drugie – to już kolejny raz kiedy firma, która dopuściła się wycieku danych kończy swoje pismo na przeprosinach i informacji co nam grozi i co możemy zrobić, żeby uniknąć problemów. I daje nam dobre rady, które za własne pieniądze, poświęcając własny czas musimy wdrożyć w życie. Oni zgubili dane, a my mamy „posprzątać”

Czytaj też: „Dopuścili do wycieku danych, a teraz zachowują się tak, jakby nic się nie stało” – skarżą się klienci. Czy Fortum mogło zrobić więcej dla 137.000 „okradzionych” klientów?

Czytaj też: Dopuścili do wycieku danych klientów. Pan Kamil prosi: „wykupiłem ochronę tożsamości, pokryjcie koszty”. Co oni na to? Jak myślicie?

Te kroki zaradcze to wykupienie alertów BIK, zastrzeżenie dokumentu osobistego oraz bycie czujnym. Czyli np. przygotowanie się na telefon od jakiegoś agenta, który może proponować zmiany w polisie. Albo na telefon kogoś, kto będzie próbował w oparciu o już posiadane dane wyłudzić kolejne (np. podszywając się pod pracownika call-center banku). Albo na to, że ktoś spróbuje podszyć się pod klienta w salonie firmy telekomunikacyjnej, wyłudzić kartę SIM i przejąć kontrolę nad kontem bankowym. To może być właśnie efekt pozyskania danych.

Może czas żeby UOKiK, albo UODO zobowiązywały firmy do finansowej pomocy poszkodowanym? Firma informuje o wycieku danych – i to nie jakimiś niesublimowanymi metodami, ale o tym, że dane wziął pracownik sąsiedniej firmy – i nic ją to nie kosztuje. A właściwie kosztuje tyle, co kartki papieru i znaczek na list. A dalej – drogi kliencie – martw się sam.

To niestety nic nowego. Opisywaliśmy takie sytuacji już kilka razy. Czasami, co pokazuje przykład pana Sebastiana, warto się postawić. Gdy jego dane wyciekły T-Mobile, on zaproponował – w ramach zadośćuczynienia za krzywdy – 24 miesiące umowy bez opłat. Nie wiem czy to dużo, czy to mało, ale jeśli przez nieostrożność firmy ktoś może wziąć na niego kilkadziesiąt tysięcy złotych „lewego” kredytu, to przynajmniej będzie mógł zadzwonić za darmo na policję, gdy się o tym dowie.

Co zrobił T-Mobile? W odpowiedzi na reklamację, czytelnik dostał bonus – 100 zł – o tyle zostały pomniejszonego jego przyszłe faktury. Szału nie ma, ale dobre i to. Firma Virgin miała jeszcze lepsze poczucie humoru. Jej przedstawiciele – po tym jak wyciekły dane klientów – oświadczyli, że firma nie ponosi winy za zdarzenie, bo sama jest ofiarą – jakiś haker zaatakował jej bazę danych. Tak, oni naprawdę to napisali!

Dlaczego klient ma płacić z własnej kieszeni za ochronę tożsamości?

Oczywiście, można też indywidualnie poskarżyć się do UODO, ale tylko po to by mieć osobistą satysfakcję – kokosów z tego mieć nie będziemy. UODO może ukarać firmę wielomilionową karą, ale najczęściej jest ona niska – to kwestia kilku, kilkunastu klientów złotych. Ale tych pieniędzy poszkodowany klient i tak nie zobaczy. Czy może pozwać firmę do sądu o odszkodowanie? Teoretycznie może, że szanse na wygraną są takie same, o ile nie doszło do szkody. Stres spowodowany możliwością sklonowania tożsamości to dla większości sądów za mało.

Nie chodzi o to, żeby zasypywać poszkodowanego górą pieniędzy. Chodzi o to, by firma, która dopuściła do wycieku – zwłaszcza w tak frajerski sposób – zapewniała minimalne finansowe wsparcie, po prostu pokryła koszty raportu BIK, alertów BIK, zastrzeżenia dowodu osobistego i sprawdzenia statusu klienta w systemach typu Ognivo. A może i koszt porady prawnika, zwrot kosztów dojazdu do urzędu itp.

Firma Open Life potwierdziła nam informację o wycieku. A Was pytam o to czy Waszym zdaniem firmy powinny „sponsorować” klientom ochronę przed wyłudzeniem kredytu, kupować dla nich pakiety usług ochronnych czy wystarczającą „karą” jest konieczność ujawnienia wycieku?

————-

Skorzystaj z bankowych promocji, sprawdź „Okazjomat Samcikowy”

Obawiasz się inflacji? Zastanawiasz się, co zrobić z pieniędzmi leżącymi w banku na 0,00001%? Sprawdź „Okazjomat Samcikowy” – to aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać na bankach:

>>> Ranking najwyżej oprocentowanych depozytów

>>> Ranking najlepszych kont oszczędnościowych. Gdzie zanieść pieniądze?

>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek? I co trzeba zrobić w zamian?

——–

Chcesz porady w sprawie oszczędności? Zapisz się na newsletter Samcika i jego Ekipy!

Jeśli masz pytania dotyczące swoich oszczędności, chciałbyś uzyskać moją poradę, to zapisz się na newsletter „Subiektywnie o Finansach”. Do subskrybentów od czasu do czasu wysyłam specjalny e-mail, w którym informuję, w jaki sposób odbiorcy newslettera będą mogli uzyskać na wyłączność moją poradę dotyczącą swojej sytuacji finansowej w czasie kryzysu koronawirusowego. Jak uzyskać poradę na wyłączność? Kliknij tutajzapisz się na mój newsletter i bądźmy w kontakcie!

——–

Nasz podcast: Czy pożyczanie pieniędzy dużym firmom może ochronić oszczędności przed inflacją?

W tym odcinku podcastu „Finansowe sensacje tygodnia” skupiamy się na tym, jak ochronić pieniądze przed inflacją. Wśród długoterminowych inwestycji, które na to pozwalają, są akcje spółek dywidendowych, obligacje skarbowe, obligacje emitowane przez przedsiębiorstwa, nieruchomości, metale szlachetne… Dziś przyglądamy się obligacjom korporacyjnym. Ile można zarobić? Dlaczego takie obligacje mogą być ochroną przed inflacją? Jakie jest ryzyko? Ile trzeba mieć pieniędzy, żeby zainwestować? W odpowiedzi na te pytania pomaga nam Szymon Gil z Domu Maklerskiego Michael / Strom, największego niebankowego domu maklerskiego (i czwartego na rynku w ogóle), który oferuje obligacje korporacyjne zarówno na rynku pierwotnym, jak i wtórnym. Zapraszam do posłuchania podcastu pod tym linkiem.

źródło zdjęcia: Unsplash

Subscribe
Powiadom o
21 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Litera
9 miesięcy temu

Takie RODO, że nie trzeba nic więcej jak poinformować poszkodowanych. W razie kontroli UODO i wlepienia kary zarobi państwo, a nie poszkodowani. Niby dlaczego raporty BIK – to usługa prywatnej firmy, informują tylko o zadłużeniu w bankach (a firm lichwiarskich jest drugie tyle) i niby na jak długo firma miałaby je opłacać – rok, dwa, dziesięć? Były wycieki w Virgin, w Plusie, operatorzy poinformowali i obowiązek ustawowy wypełnili. O oszustwach wskutek tych wycieków nie słychać.

Pibloq
9 miesięcy temu
Reply to  Litera

Dokladnie. Już dawno powinien wejść obowiązek współpracy z BIK. Udzielasz pozyczek na terytorium PL? – musisz sprawdzic BIK i ew.zastrzeżenie kredytowe. Udzieliłeś kredytu/pozyczki, nie sprawdzając BIKu i doszło do oszustwa? Trudno, to przedsiębiorco Twój koszt. Zaraz by się skończyły oferty typu „Pożyczka bez BIK w 10 min”

Radek
9 miesięcy temu
Reply to  Litera

„O oszustwach wskutek tych wycieków nie słychać.” Nie słychać, bo żaden wyłudzacz się nie pochwali przecież, że dane wziął z bazy tej czy tamtej firmy, z tego czy tamtego wycieku 🙂 Codziennie w Polsce są wyłudzane kredyty na czyjeś dane. i te dane pochodzą z takich właśnie wycieków. Póki polityków to nie zaboli osobiście, nie zajmą się tym problemem. Powinna powstać państwowa usługa, darmowa, która udostępni jakieś API do sprawdzenia czy obywatel o takim numerze PESEL wyraża chęć wzięcia kredytu. Jeśli była ustawiona odmowa, albo pożyczkodawca w ogóle nie sprawdził – sam odpowiada za spłacenie długu. Obywatel powinien mieć możliwość… Czytaj więcej »

Ralf
9 miesięcy temu

Rozejdzie się po kościach. Kilkudziesięciu jeleni będzie spłacało nie swój kredyt, komuś wyczyszczą konto, zrobią jakiś duplikat SIM. Oczywiście powiązanie tego (procesowo) z tym konkretnym wyciekiem będzie niewykonalne.
Kraina bezprawia…

krzysztof
9 miesięcy temu
Reply to  Ralf

Bezprawia i niesprawiedliwości.

Olek
9 miesięcy temu

„(…) to kwestia kilku, kilkunastu klientów złotych.”

Na pewno chodziło o złotych klientów?

Łukasz
9 miesięcy temu

To nie pierwszy wyciek z Open Life
Pracownicy na wysokich stołkach mający nieograniczony dostęp do danych polis klientów od wielu miesięcy a w zasadzie od początku pandemii sprzedawali dane jednej krakowskiej firmie z czarnymi wizytówkami o nazwie na G… Tysiącami ! Dane Open Life mogą być wszędzie

Dominik
9 miesięcy temu
Reply to  Łukasz

No widzisz i już wiesz gdzie kredyt czy polistę przenieść masz 😉

Pibloq
9 miesięcy temu
Reply to  Łukasz

Prokurator powinien sie zainteresowac. @Łukasz – znasz szczegóły, a nie ujawniasz? Także popełniasz przestępstwo

Dominik
9 miesięcy temu

To zależy konkretnie co wycieka dane imie; nazwisko; adres e-mail ;numer pesel; numer telefonu; adres zamieszkania to dane powszechne. Poza peselem w byle sklepie e-commerce są te dane, a pesel w KRS czy księgach wieczystych. Numer dowodu, numer paszportu, zdjęcie dokumentów typu paszport , dowód, to prędzej za to jakaś rekompensata i kara. Jak wycieknie dana medyczna z apteki o lekach to wielkie naruszenie wtedy ? Dane o krwi ? A jak nr polisy OC to czy to też wielkie naruszenie ? Kto ma wtedy płacić za to ? Zaraz ceny w górę dla nas będą ,bo cyber-bezpieczeństwo będzie wszędzie… Czytaj więcej »

Admin
9 miesięcy temu
Reply to  Dominik

Moim zdaniem to jest dość proste: jeśli doszło do wycieku, który powoduje, że jest ryzyko sklonowania czyjejś tożsamości (choćby częściowego), to winowajca powinien refundować zakup raportu BIK, raportu KRD („Chroń PESEL” czy jakoś tak) alertów BIK oraz koszty wymiany dowodu osobistego, być może też sprawdzenia statusu człowieka w bazie Ognivo (czy ktoś nie założył mu konta na słupa)

Marcin
9 miesięcy temu
Reply to  Maciej Samcik

Byliby, gdyby była centralna i obowiązkowa baza zastrzeżeń i zapytan. Jak tam walka o to Panie Macieju?

Admin
9 miesięcy temu
Reply to  Marcin

Po drugiej stronie beton, ale jak ostatnio rozmawiałem z prezesem Pietraszkiewiczem, to zarzekał się, że przecież wszystkie banki są w bazie zastrzeżeń. Przekonywaliśmy go z kolegą, że nie, ale chyba nie uwierzył. Więc to raczej nie jest beton, to jest matrix

Ralf
9 miesięcy temu
Reply to  Maciej Samcik

Następnym razem proszę go jeszcze zapytać o kserowanie dokumentów.

Admin
9 miesięcy temu
Reply to  Ralf

Dopsz

krzysztof
9 miesięcy temu
Reply to  Maciej Samcik

Czyli wspomagać prywatne firmy jakimi są BIK i ta co robi serwis dla KRD? Niby dlaczego właśnie te firmy?

Admin
9 miesięcy temu
Reply to  krzysztof

Nie wiem, może państwo powinno zbudować taki system, albo narzucić ceny regulowane, jak przy każdym monopolu

Pibloq
9 miesięcy temu
Reply to  krzysztof

Takich paranoi i wspierania prywatnych firm jest wiecej. Czarnek pierdzieli smuty ideologiczne, a od lat e-dziennik w szkolach publicznych obsluguje prywatna firma Librus

Ralf
9 miesięcy temu
Reply to  Dominik

Nie ważne co wycieka, ważne co można z tym zrobić. A można naprawdę dużo. Dane wrażliwe dostępne pojedynczo nie są wiele warte, ale powiązane ze sobą już tak. Z jednego miejsca wycieknie PESEL + telefon, z drugiego PESEL + mail, z trzeciego imię i nazwisko + mail i masz już całkiem przyzwoity zestaw.

Mimi
9 miesięcy temu

Dziwne że jeden człowiek zrobił kilka tysięcy klientów w jeden dzień 23 grudnia. Pracowity człowiek hahahh

Admin
9 miesięcy temu
Reply to  Mimi

Zrobił sobie prezent pod choinkę 😉

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!