GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Ogromny wyciek danych klientów popularnej firmy pożyczkowej

Autor: Redakcja
Udostępnij publikację:
Ogromny wyciek danych klientów popularnej firmy pożyczkowej

Urząd Ochrony Danych Osobowych (UODO) donosi, że wpłynęło do niego zgłoszenie o poważnym naruszeniu danych osobowych. Nadawcą zgłoszenia jest ID Finance Poland Sp. z o.o. z siedzibą w Warszawie, która oferuje pożyczki za pośrednictwem strony internetowej MoneyMan.pl.

Z doniesień organu wynika, że w wyniku błędu ludzkiego dane osobowe użytkowników tego portalu mogły zostać narażone na dostęp osób nieuprawnionych. Bazy danych, których dotyczy zgłoszenie, zawierają liczne informacje na temat osób, które wnioskowały o udzielenie pożyczki. Zakres danych jest bardzo szeroki. To nie tylko imiona i nazwiska, ale także numery PESEL, numery dowodów osobistych lub paszportów, adresy e-mail, hasła zapisane otwartym tekstem, czy też numery rachunków bankowych. Sprawa jest zatem bardzo poważna.

Brak działań

Do naruszenia mogło dojść na długo przed jego zgłoszeniem do UODO. Pierwszy sygnał o możliwym wycieku pojawił się bowiem w Internecie już 3 marca br. Wówczas osoba zajmująca się bezpieczeństwem baz danych w Internecie poinformowała za pośrednictwem Twittera, że uzyskała nieuprawniony dostęp do prawie 300 tysięcy rekordów zawierających dane osobowe klientów spółki.

Z doniesień tej osoby wynika, że próbowała się ona podzielić swoim odkryciem z właścicielem portalu pożyczkowego. Wiadomości w tej sprawie miały jednak pozostać bez odpowiedzi.

O wycieku poinformował także portal „Zaufana Trzeci Strona”. Wskazał on, że próbował skontaktować się ze spółką w tej sprawie. Próby te były jednak bezskuteczne. Co więcej, portal informuje, że 9 marca br. baza danych zawierająca dane osobowe klientów pożyczkodawcy została usunięta. W jej miejsce zamieszczone zostało natomiast żądanie zapłacenia okupu w zamian za odzyskanie usuniętych danych osobowych. Zdaniem portalu, nawet w obliczu tego zdarzenia, spółka nie podjęła żadnych działań naprawczych, w tym nie poinformowała o tym osób, których dane osobowe wyciekły w Internecie. 

Przebudzenie spółki

Spółka dopiero 16 marca br. poinformowała za pośrednictwem Facebooka o wycieku danych osobowych. Stwierdziła, że do nieuprawnionego dostępu do danych osobowych jej klientów doszło w skutek błędu popełnionego przez podmiot z nią współpracujący.

Pożyczkodawca zapewnił, że podjął natychmiastowe działania celem zabezpieczenia danych oraz zidentyfikowania przyczyny wycieku i jego źródła. Wskazał on, że podjął wszelkie kroki przewidziane w RODO. Zgłosił naruszenie do UODO, zawiadomił o zaistniałej sytuacji osoby, których dane wyciekły w Internecie oraz przekazał im szczegółowe informacje na temat zdarzenia, jego możliwych konsekwencji i podjętych krokach. Co ciekawe, spółka podkreśliła, że zdarzenie miało charakter incydentalny i wynikało wyłącznie
z niezamierzonego błędu ludzkiego.

Możliwa surowa kara

Aktualnie sprawa jest analizowana przez UODO. Jesteśmy bardzo ciekawi czy oraz jakie działania w tej sprawie podejmie organ nadzorczy oraz jakie ustalenia poczyni. Co prawda, nie ma aktualnie żadnych dowodów potwierdzających, że dane osobowe, które wyciekły w Internecie, zostały wykorzystane przez kogoś w sposób bezprawny. Bez wątpienia skala tego wycieku jest jednak duża. Nie wiadomo również jaki jest krąg osób, które uzyskały dostęp do niezabezpieczonej bazy danych. Biorąc pod uwagę szeroki zakres utraconych danych, zagrożenia dla osób, których te dane dotyczą są znaczne. Na ich podstawie możliwe jest – hipotetycznie – wytworzenie podrobionych dokumentów, czy też np. zaciągnięcie zobowiązań kredytowych w imieniu poszkodowanych osób. 

W przypadku potwierdzenia przez UODO doniesień o wycieku, spółce może grozić wysoka kara finansowa. Zgodnie z RODO, organ może nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z uwagi na skalę tego naruszenia oraz jego charakter wydaje się, że możemy spodziewać się surowej kary dla właściciela strony internetowej MoneyMan.pl.

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies