Myślę, że każdy kojarzy telewizyjne lub internetowe reklamy usług oferowanych przez Wonga.com. Sam portal określa się jako alternatywa dla chwilówek, ale nie piszę tego artykułu po to, by rozważać uczciwość i opłacalność pożyczek on-line. Piszę dlatego, że w wyniku ataku na firmę wyciekły dokładne dane osobowe co najmniej 270.000 klientów. Aż 25 tysięcy z nich pochodzi z Polski.
Jak się zapewne domyślacie, zagrożone są tylko osoby, które kiedykolwiek korzystały z usług przedsiębiorstwa. Niestety, dość niepokojące są dane, które wyciekły. Marcin Borowiecki, prezes zarządu Wonga.pl, wysłał do klientów maila, w którym informuje:
Z naszych dotychczasowych analiz wynika, że nieautoryzowany dostęp mógł dotyczyć Pana danych osobowych. Może to dotyczyć takich informacji jak: imię, nazwisko, adres, numer telefonu, PESEL i numeru dowodu osobistego. Wszystkie hasła, w tym hasła podawane przy weryfikacji tożsamości objęte są osobnym systemem zabezpieczeń i nie było do nich nieautoryzowanego dostępu. Natomiast może Pan rozważyć reset hasła na stronie wonga.pl.
Cóż z tego, że nie przejęto haseł do kont, skoro ktoś uzyskał dostęp do znacznie bardziej newralgicznych danych? W przypadku Polaków są to te wymienione powyżej, a w przypadku co najmniej 245 tysięcy Brytyjczyków, do spisu dołączają cztery ostatnie cyfry kart płatniczych. Wszystkie dane zebrane do kupy spokojnie wystarczą do wzięcia – o ironio – pożyczki on-line.
Pragnę podkreślić, że Wonga oficjalnie potwierdza złamanie zabezpieczeń dostępu do tych danych, lecz nie wiadomo, czy zostały one gdzieś przeniesione. Z tego powodu nie sposób sprawdzić, kto dokładnie jest zagrożony. Nie wiadomo kiedy dokładnie miał miejsce przeciek, ale datuje się go na miniony tydzień. Potencjalną ofiarą jest każdy, kto podawał swoje dane firmie, w celu podjęcia pożyczki. O tyle dobrze, że zarząd firmy przyznał się do błędu, zgłosił sprawę do prokuratury i współpracuje z organami ścigania w celu ustalenia sprawców całego zamieszania.
Na samym końcu chciałbym przytoczyć kilka porad, które zostały wymienione na łamach portalu Niebezpiecznik.pl.
Po pierwsze, zalecane jest zastrzeżenie dowodu tożsamości i wyrobienie nowego. Po drugie, aby zapobiec tego typu sytuacjom, w przypadku wysyłania skanów dowolnych dokumentów należy oznaczać je odpowiednią notką z datą i nazwą firmy. W ten sposób utrudnione będzie ponowne wykorzystanie tych danych, a ustalenie ewentualnego wycieku będzie łatwiejsze. Pamiętajcie także, że Biuro Informacji Kredytowej umożliwia włączenie powiadomień SMS w przypadku prób autoryzacji dowolnego kredytu. Niestety, pożyczki w parabankach nie są tam weryfikowane, a więc nie uchronicie się przed wszystkim.
AKTUALIZACJA (11.04.2017):
Otrzymaliśmy oświadczenie od Wonga, według którego rzeczywiście doszło do nieautoryzowanego dostępu do danych klientów, jednak nie ma potwierdzenia, że wytransferowano je na zewnątrz. Liczba klientów w Polsce, których sprawa dotyczy, wynosi też nie 25, a 22 tysiące.
Wonga nie potwierdza, że jakiekolwiek dane klientów zostały wytransferowane. Potwierdzamy, że doszło do nieautoryzowanego ograniczonego dostępu na serwery Wonga w Wielkiej Brytanii. Nielegalne wejście zostało niezwłocznie wykryte i zablokowane przez systemy zabezpieczenia. Dodatkowo systemy zabezpieczenia zostały ponownie przetestowane w celu potwierdzenia ich pełnej funkcjonalności. Z naszych dotychczasowych analiz wynika, że nieautoryzowany dostęp mógł potencjalnie dotyczyć danych około 22 tysięcy naszych klientów. Nie objął natomiast dostępu haseł – te dane objęte są osobnym systemem zabezpieczeń. Zgłosiliśmy do prokuratury informację o popełnieniu przestępstwa. Będziemy na bieżąco współpracować z organami ścigania w celu wyjaśnienia jego okoliczności i wykrycia sprawców. Poinformowaliśmy naszych klientów o tej sytuacji i będziemy przekazywać zainteresowanym osobom kolejne istotne dla nich informacje. Nasze call center na bieżąco odpowiada na pytania klientów.
Ustaliliśmy też, że liczba ta nie przekracza 22 tys. klientów Wonga w Polsce i 240 tys. klientów w Wielkiej Brytanii.
źródło: Niebiezpiecznik, BBC, Benchmark, Kempton Express