INFORMACJA O NARUSZENIU
OCHRONY DANYCH OSOBOWYCH
Szanowni Państwo.
Miejski Zakład Wodociągów i Kanalizacji Spółka z o. o. z siedzibą w Kętach ul. Św. M. Kolbe 25a, 32-650 Kęty (dalej MZWIK Kęty), jako Administrator danych osobowych przetwarzanych w związku ze świadczonymi przez nas usługami chcieliśmy z przykrością poinformować, o naruszeniu ochrony danych osobowych dotyczących klientów Spółki, zgodnie z poniższym zakresem informacji:
Opis charakteru naruszenia:
W dniach 12 – 14.04.2023 roku u dostawcy usługi SMS-owego informowania o wystawieniu faktury (Vercom S.A. – Serwer SMS.pl System Obsługi Marketingu Mobilnego) doszło do ataku hackerskiego polegającego na uzyskaniu nieautoryzowanego dostępu (utrata poufności) do części danych bilingowych naszych klientów.
Pomimo szybkiej reakcji dostawcy usługi przez krótki okres był możliwy dostęp do danych osobowych zawierających: numer telefonu, skrót MZWIK Kety, numer faktury oraz kwotę faktury.
Wg. Informacji jakie otrzymaliśmy w dniu 24.04.2023 roku nie zostały ujawnione żadne inne dane osobowe naszych klientów.
WAŻNE: MZWIK Kęty nie przesyła wiadomości SMS zawierających odnośniki (linki) do stron, plików, systemu bankowego.
Chcemy zapewnić, że wspólnie z dostawcą usługi podejmujemy wszelkie możliwe kroki, aby zminimalizować skutki tego incydentu oraz zapobiec podobnym sytuacjom w przyszłości.
Działania podjęte przez MZWIK Kęty:
Niezwłocznie po stwierdzeniu nieautoryzowanego dostępu do danych usługodawca podjął następujące działania:
- zostało zmienione hasło dostępowe do konta użytkownika MZWIK Kęty,
- wprowadzono możliwość logowania się tylko z autoryzowanych adresów IP,
- zabezpieczono klucze API,
- zresetowano dostępy do całej infrastruktury związanej z systemem wysyłki SMS-ów,
- wdrożono dodatkowe algorytmy zabezpieczające.
Naruszenie ochrony danych osobowych zostało zgłoszone na Policję oraz do Prezesa Urzędu Ochrony Danych Osobowych.
Podjęte zostały działania mające na celu zidentyfikowanie wszystkich osób, których dane osobowe (numer telefonu) mogły zostać ujawnione, a do osób tych została wysłana wiadomość mailowa. Dodatkowo na stronie internetowej został umieszczony komunikat o zaistniałym zdarzeniu.
Możliwe konsekwencje naruszenia:
Na chwilę obecną nie posiadamy żadnych informacji jaka grupa faktycznie naszych klientów jest narażona na potencjalne działania ze strony przestępców, ponieważ uzyskanie dostępu do danych nie jest tożsame z ich skopiowaniem.
Traktujemy wszystkich naszych Klientów do których danych uzyskano nieautoryzowany dostęp jako potencjalnie narażonych na działania mogące mieć między innymi następujące konsekwencje:
- próba podszycia się pod MZWIK Kęty w celu pozyskania dodatkowych danych osobowych,
- próba podszycia się pod firmy kurierskie, banki, urzędy skarbowe, policję, komorników, pocztę itp. w celu przejęcia dostępu do konta bankowego, wypłatę pieniędzy z bankomatu, przekazanie pieniędzy, dokonania zakupów na Państwa konto.
Poddanie się presji przestępców, hackerów może skutkować poważnymi stratami finansowymi.
Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu:
Sugerujemy zachować szczególną ostrożność i:
- nie otwierać załączników, linków przesyłanych przez SMS,
- podejrzane komunikaty SMS potwierdzać kontaktując się przez dane teleadresowe dostępne jedynie na oficjalnej stronie nadawcy wiadomości,
- w przypadku podejrzanej wiadomości przesłać ją do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CERT.PL), ewentualnie zgłosić za pomocą formularza znajdującego się pod adresem: https://incydent.cert.pl/#!/lang=pl
- nie podawać dzwoniącym pod numer telefoniczny osobom podającym się za pracowników banków, instytucji (policja, prokuratura, komornik itp.), organizacji żadnych danych dotyczących, spraw majątkowych, finansów, operacji bankowych konta bankowego, haseł dostępowych, numerów kart bankowych, pinów itp.,
- w przypadku jakichkolwiek wątpliwości przerwać połączenie telefoniczne i zadzwonić do organizacji na jaką powoływał się dzwoniący pod numer dostępny na oficjalnej stronie internetowej.
Proszę pamiętać, że, policja, banki nigdy nie żądają haseł, nie oczekują przekazania pieniędzy funkcjonariuszowi. Przy próbie nakłonienia do przekazania gotówki natychmiast proszę przerwać połączenie i zadzwonić na numer alarmowy policji.
Gdzie możecie Państwo uzyskać więcej informacji:
W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z:
Inspektorem Ochrony Danych Panem Dariuszem Kopacz:
Miejski Zakład Wodociągów i Kanalizacji Spółka z o. o. z siedzibą w Kętach
Św. M. Kolbe 25a, 32-650 Kęty,
lub pisząc na adres e-mail: rodo@mzwik-kety.com.pl,
lub dzwoniąc pod numerem telefonu 883 993 035.
Informacje na temat zdarzenia można również uzyskać dzwoniąc pod numery:
33 845 22 78 wew. 214
Przepraszamy za wszelkie niedogodności, które budzą Państwa niepokój.