Informacja o naruszeniu danych osobowych
Informacja o naruszeniu danych osobowych
Z przykrością zawiadamiamy, iż doszło do naruszenia danych osobowych poprzez nieprawidłową konfigurację Geoportalu w wyniku pomyłki pracownika wprowadzającego zmianę w konfiguracji. Poprzez powyższe działanie numery ksiąg wieczystych zostały ujawnione do publicznej części portalu w Geoportalu powiatu będzińskiego dostępnym pod adresem
https://geo.powiat.bedzin.pl/#/giportal
Ponieważ rejestr ksiąg wieczystych jest udostępniony do publicznego przeglądania powyższe zdarzenie prowadzi do łatwego pozyskania informacji z elektronicznego rejestru ksiąg wieczystych na temat właścicieli nieruchomości.
Naruszenie poufności danych trwało od dnia 08 sierpnia 2022 r. do dnia 11 sierpnia 2022 r. gdy zidentyfikowaliśmy błąd operatora Geoportalu. Dostęp do numerów ksiąg wieczystych został ograniczony zaraz po identyfikacji naruszenia. Starostwo zleciło analizę logów dostępowych by wykryć czy w trakcie trwania zdarzenia były próby wykorzystania algorytmów do automatycznego pobrania upublicznionych danych. W wyniku powyższego działania nie stwierdzono użycia algorytmów do automatycznego pobrania numerów ksiąg wieczystych, a w trakcie trwania incydentu stwierdzono standardową aktywność w portalu. Podsumowując analizę logów dostępowych zidentyfikowano, iż zapytania, które mogły uzyskać dostęp do numerów ksiąg wieczystych pochodziły z 18 obcych adresów IP przy czym łączna ilość zapytań z tych adresów wynosiła 238 zapytań. W przypadku próby użycia algorytmu do automatycznego pozyskania numerów ksiąg wieczystych w masowej ilości ilość zapytań byłaby znacznie większa, liczona nawet w tysiącach.
Jakie są zagrożenia?
Twoje dane osobowe mogą być wykorzystywane do prób wyłudzeń m.in. za pośrednictwem fałszywych wiadomości dostarczanych na Twój adres (w tym m.in. handlowych), na które nie wyraziłeś/aś zgody. Istnieje również ryzyko kradzieży Pana/Pani tożsamości oraz powzięcia na Pana/Pani dane osobowe różnych zobowiązań.
Równocześnie informujemy, iż w wyniku przeprowadzonych analiz wskazujemy na niskie prawdopodobieństwo wykorzystania powyższego incydentu do realizacji wskazanych zagrożeń.
Co należy zrobić?
Nie odpowiadaj na podejrzane listy, wiadomości elektroniczne lub rozmowy telefoniczne. Zalecamy najwyższą ostrożność zwłaszcza gdy takie wiadomości dotyczą płatności.
W związku z powyższym incydentem wskazujemy jakie działania można podjąć uniknąć prób oszustwa lub phishingu (wyłudzenia danych) przy korzystaniu z poczty elektronicznej:
- Pamiętaj, że wiele prób wyłudzenia danych, oszustwa bazuje na naszych drobnych błędach popełnianych przy okazji szybkiego pędu życia. Przeczytaj wiadomość i zwróć uwagę na treść i gramatykę treści wiadomości - wiele wiadomości próbujących wyłudzić dane jest maszynowo tłumaczona na język polski i zawiera wiele błędów językowych.
- Sprawdź 2 razy od kogo otrzymałeś wiadomość. Sprawdź domenę nadawcy (część adresu po znaku „@”) czy nie zawiera błędów (np. zamiast „home.pl” jest „homepl.pl”).
Pamiętaj, że to co widać w polu „Nadawca” lub „From” da się oszukać. Dlatego by mieć pewność zajrzyj do nagłówków wiadomości. W klientach pocztowych: - Thunderbird - Zaznacz wiadomość, po prawej stronie kliknij przycisk inne i wybierz z listy pokaż źródło.
- Windows Mail - kliknij wiadomość prawym, wybierz właściwości, zakładkę szczegóły i przycisk źródło wiadomości.
- Outlook - po otwarciu wiadomości kliknij „Plik” następnie „Właściwości” i nagłówki wyświetlają się polu „Nagłówki internetowe” w tym samym oknie dialogowym. W nagłówkach sprawdzamy ścieżkę „Return-path” - to ścieżka zwrotna tu widać prawdziwy adres nadawcy i tego adresu już nie da się podmienić
- Nie otwieraj linków ani załączników do wiadomości od nieznanych nadawców lub gdy po wskazanych wyżej czynnościach masz wątpliwości co do rzetelności wiadomości. Pamiętaj, że nawet załącznik w formacie .doc lub .docx (plik Microsoft Word) może zawierać złośliwe oprogramowanie aktywowane przy otwarciu pliku.
W momencie gdy otrzymujesz telefon od banku, rozłącz się i oddzwoń na oficjalną infolinię banku. Jeśli był to prawdziwy kontakt od Twojego banku zostaniesz przekierowany do odpowiedniego działu.
Monitoruj swoją sytuację kredytową w Biurze Informacji Kredytowej. Jak to zrobić bez ponoszenia kosztów? Raz na 6 miesięcy każdy obywatel może wnioskować o bezpłatne wydanie informacji kredytowej. Dokument ten dostępny jest aktualnie pod nazwą - kopia danych.
Kopię danych możemy pozyskać na cztery sposoby:
- składając wniosek osobiście Centrum Obsługi Klientów BIK,
- przesyłając wniosek pocztą,
- przesyłając wniosek pocztą elektroniczną z podpisem kwalifikowanym,
- przesyłając wniosek poprzez konto na Portalu BIK.
Dodatkowo na portalu Biura Informacji Kredytowej można wykupić usługę stałego monitorowania i informowania o próbach powzięcia zobowiązań finansowych.
Proponujemy również do skorzystania z możliwości zastrzeżenia swoich danych osobowych i zabezpieczenia się przed wyłudzeniami za pomocą strony https://www.bezpiecznypesel.pl/. Pamiętaj jednak iż powyższy serwis nie jest inicjatywą rządową, a prywatną inicjatywą CRIF Sp. z o.o. z siedzibą w Krakowie, której patronuje Polski Związek Instytucji Pożyczkowych. W związku z tym Starostwo nie gwarantuje, iż po zastrzeżeniu danych osobowych za pomocą powyższego serwisu próby wyłudzeń nie będą podejmowane.
Jakie podjęliśmy kroki?
Zablokowaliśmy już udostępnianie numerów ksiąg wieczystych w Geoportalu w dniu 11 sierpnia 2022 r. oraz przeanalizowaliśmy logi dostępowe by wykryć i ocenić prawdopodobieństwa wystąpienia negatywnych skutków dla osób, których dane dotyczą.
Planujemy kolejne działania korygujące mające na celu zapobieganie podobnym sytuacjom w przyszłości.
Ta kwestia jest dla nas absolutnym priorytetem i dużym wyzwaniem dlatego zapewniamy o pełnym zaangażowaniu całego zespołu w wyjaśnienie sytuacji i wprowadzeniu działań zapobiegawczych.
Zawsze jesteśmy do Twojej dyspozycji. Jeżeli masz jakiekolwiek pytania, prosimy o kontakt z nami lub z naszym Inspektorem Ochrony Danych panem Bartłomiejem Czauderna, pocztą elektroniczną na adres iod@powiat.bedzin.pl lub telefonicznie +48 512 263 577.