Wyciek danych 3,4 mln klientów firmy energetycznej z Polski

Dane niemal 3,4 mln klientów firmy energetycznej z Polski trafiły do sieci obejmują nie tylko dane osobowe, ale i czułe informacje handlowe. 

Kiedy doszło do wycieku - nie wiadomo. Wiadomo natomiast że w wyszukiwarce Shodan - zajmującej się wyszukiwaniem urządzeń sieciowych - baza danych zawierająca dane Polaków pojawiła się 15 kwietnia. Dzień później natrafił na nią znany w internetowym świecie łowca przecieków, a zarazem internetowy "hydraulik" - Bob Diachenko. Swoje dochodzenie opisał na stronie Security Discovery. 

Diachenko niewiele czasu potrzebował na ustalenie skąd taki zbiór danych wyciekł do sieci. Należał do Fortum Polska, firmy energetycznej działającej m.in. w Bytomiu Częstochowie i Zabrzu. W zapisach danych znajdowały się imię i nazwisko, email i adres zamieszkania, numer telefonu i PESEL, a nawet szczegóły umów z rocznym zużyciem gazu czy energii. 

Ponadtrzymilionowa baza zdziwiła samego znalazcę, ustalił, że Fortum Polska nie ma aż tylu klientów. Ale okazało się, ze do niektórych klientów przypisane są różne numery umów. To właśnie na podstawie numerów Diachenko ustalił, że ma w ręku prawdopodobnie bazę wszystkich klientów Fortum w Polsce.

Bob Diachenko jest postacią znaną wśród osób zajmujących się bezpieczeństwem sieciowym. Ma ponad 12 lat doświadczenia w pracy w komunikacji korporacyjnej, produktowej i wewnętrznej z silnym naciskiem na ochronę zdrowia, IT i technologię. W przeszłości współpracował z opiniotwórczymi mediami, agencjami rządowymi i organami ścigania, aby pomóc w zabezpieczeniu wycieków danych. Teraz też zareagował błyskawicznie, wysyłając bezpośrednie pytanie o incydent do Fortum. 

Internetową dzurę udało się spółce zatkać w ciągu 24 godzin. A Diachenko otrzymał informację:

Jeden z naszych dostawców usług bazy danych pracował nad poprawą wydajności wyszukiwania dokumentów. W wyniku wdrożenia usługi baza danych nie była odpowiednio zabezpieczona, a zatem narażona na niekontrolowany wyciek danych naszych klientów energii elektrycznej i gazu. Natychmiast po otrzymaniu informacji o sprawie zablokowaliśmy dostęp i rozpoczęliśmy wewnętrzne dochodzenie, które potwierdziło nieautoryzowany dostęp. Poinformowaliśmy Biuro RODO, jesteśmy w pełni gotowi do współpracy z władzami i postępowania zgodnie z ich wskazówkami dotyczącymi ewentualnych dalszych kroków. Jednocześnie kontynuujemy dochodzenie wewnętrzne.

Spółka opublikowała również oświadczenie na swojej stronie internetowej:

W ubiegłym tygodniu doszło do naruszenia bezpieczeństwa danych osobowych klientów Fortum Marketing and Sales Polska S.A. Dane dotyczą zawartych umów sprzedaży energii elektrycznej i paliwa gazowego. Obejmują one m.in. imię, nazwisko, adres, numer telefonu, PESEL i numer dowodu osobistego. Dostęp do danych został niezwłocznie zablokowany i rozpoczęliśmy wewnętrzne dochodzenie. O wycieku powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych. Jesteśmy gotowi do współpracy z władzami, aby w pełni wyjaśnić tę sprawę.