Tuż przed Świętami Wielkanocnymi do użytkowników platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury zaczęły trafiać e-maile informujące ich o możliwości „kradzieży” ich danych.
„Dotychczasowe ustalenia wskazują, że przedmiotem kradzieży były następujące kategorie danych: imię, nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania, daty pierwszego i ostatniego logowania, numery ICQ, MSN, Skype, Yahoo, jednostka (miejsce pracy), hasło (zaszyfrowane). Aktualnie trwają czynności analityczne celem ustalenia czy przedmiotem kradzieży były również numery PESEL, gdyż obecnie nie można całkowicie wykluczyć takiej możliwości” – napisano w zawiadomieniu rozesłanym do użytkowników platformy szkoleniowej. Chodzi w sumie o ponad 50 tys. osób, w tym sędziów, prokuratorów, asesorów, aplikantów i urzędników wymiaru sprawiedliwości.
Nie było adresów
KSSiP dowiedziała się o wycieku danych 7 kwietnia 2020 r. Z nieoficjalnych informacji DGP wynika, że to policja powiadomiła ją o tym, że dane użytkowników jej systemu pojawiły się na jednym z zagranicznych serwisów internetowych. Prawdopodobnie wyciek nastąpił w momencie migracji bazy ze starej platformy szkoleniowej na nową. W rozesłanych zawiadomieniach mowa jest o „kradzieży” danych. Tymczasem Urząd Ochrony Danych Osobowych przedstawia inną wersję.
– Naruszenie nie było konsekwencją kradzieży danych, a efektem incydentu o charakterze informatycznym – wyjaśnia Adam Sanocki, rzecznik prasowy UODO. Organ ten otrzymał od KSSiP zgłoszenie o naruszeniu danych osobowych.
– W związku z tym, że zgłoszenie ma charakter wstępny, to UODO czeka na jego uzupełnienie przez administratora – zaznacza Adam Sanocki.
Najwięcej obaw wzbudziła informacja o ujawnieniu miejsca zamieszkania. Jak jednak dowiedział się DGP, chodzi wyłącznie o sam kod pocztowy i nazwę miejscowości, przy czym odnoszące się do jednostki, w której pracuje osoba korzystająca z platformy szkoleniowej.
– To dobra wiadomość, gdyż chodzi m.in. o dane osobowe sędziów i prokuratorów. To są grupy zawodowe narażone – ze względu na to, co robią – na szczególne ryzyko i wymagające szczególnej ochrony, także teleinformatycznej. Wyciek ich adresów zamieszkania oznaczałby zagrożenie dla ich osobistego bezpieczeństwa – komentuje dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Trwa postępowanie
Z dużym prawdopodobieństwem można też zakładać, że nie przejęto numerów PESEL.
– Numery takie były podawane podczas rejestracji, ale z informacji, jakie posiadamy, wynika, że nie ujawniono ich wśród danych opublikowanych na zagranicznym serwerze – powiedział nam Adam Czerwiński, zastępca dyrektora KSSiP.
Przejęcie danych takich jak imię, nazwisko, adres e-mail czy numer telefonu również może być niebezpieczne. W zawiadomieniach rozsyłanych przez KSSiP mowa m.in. o ryzyku uzyskania pożyczek w instytucjach pozabankowych, próbach uzyskania dostępu do informacji medycznych czy też zakładaniu fikcyjnych kont na stronach internetowych.
W jaki sposób wyciekły dane? Bada to prokuratura.
– Natychmiast powiadomiliśmy ją o zdarzeniu i współpracujemy przy wyjaśnianiu jego wszystkich okoliczności. Interweniowaliśmy u administratora zagranicznego portalu, by zablokował dostęp do ujawnionych danych. Poinformowaliśmy także UODO oraz rozesłaliśmy zawiadomienia do osób, których dane mogły zostać przejęte przez nieuprawnionych. Zresetowaliśmy również hasła do platformy szkoleniowej, wysyłając zainteresowanym instrukcje ponownego logowania – wskazuje Adam Czerwiński.
50 776 tylu osób może dotyczyć wyciek z bazy Krajowej Szkoły Sądownictwa i Prokuratury
7 kwietnia 2020 r. tę datę wskazano jako moment wykrycia naruszenia ochrony danych