W poznańskim urzędzie miasta miał miejsce cyberatak. Hakerzy uzyskali dostęp do numerów telefonów mieszkańców wykorzystywanych w komunikatach SMS wysyłanych przez Urząd Miasta Poznań. Sprawą zajmuje się UODO.
Ze zgłoszenia wynika, że doszło do incydentu bezpieczeństwa u dostawcy usług SMS świadczonych na rzecz Miasta Poznań. Chodzi tu o usługę, w ramach której wysyłane były na numery odbiorców różnego rodzaju komunikaty np. informacje o rezerwacji wizyt w urzędzie, czy powiadomienia o odbiorze dokumentów. Cyberprzestępcy włamali się do bazy danych zawierających ok. 30 tys. numerów telefonów a także wzorce komunikatów (niezawierające w swej treści dane osobowe). Przejęte zostały więc numery telefonów mieszkańców.
W określonych okolicznościach numer telefonu może stanowić daną osobową. Wszak pozwala on na stosunkowo łatwe ustalenie tożsamości osoby fizycznej. Sprawdź, jakich przypadków to dotyczy>>
Jak wskazał dyrektor zarządzający firmy świadczącej usługę SMS na rzecz Miasta Poznań, w wyniku cyberataku nie uzyskano dostępu do kont klientów. Wskazał również, że stwierdzonapodatność w systemie została zidentyfikowana i usunięta. Dostawca usługi ponadto:
dokonał wymuszenia zmiany haseł przez użytkowników platformy,
ograniczył możliwość logowania z nieautoryzowanych numerów IP,
zabezpieczył klucze API,
zresetował dostępy do infrastruktury,
wdrożył dodatkowe algorytmy zabezpieczające.
O incydencie poinformowano pracownika urzędu miasta w dniu 19 kwietnia 2023 r. Z kolei 26 kwietnia skierowano komunikat o zdarzeniu do mieszkańców. W międzyczasie m.in. przygotowano listę osób, które powinny otrzymywać komunikat o naruszeniu a także ustalono faktyczny zakres naruszonych danych. Wskazano również na zagrożenia wiążące się z atakiem np.: wykorzystanie numerów telefonów do phishingu.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
