Urząd Ochrony Danych osobowych poinformował w komunikacie zamieszczonym na swojej stronie www, że 31 marca 2024 r. w Internecie udostępniono dane 1,3 mln klientów platformy sprzedażowej pandabuy.com. (PandaBuy to platforma zakupów online, która umożliwia użytkownikom dokonywanie zakupów w wielu sklepach e-commerce z Chin.) Były to dane klientów z całego świata, w tym z Polski. Jak wynika z informacji urzędu zakres danych objętych wyciekiem był szeroki i obejmował:
- imiona i nazwiska,
- adresy e-mail,
- numery telefonów,
- identyfikatory użytkowników,
- adresy IP,
- hasła,
- adresy dostaw,
- dane dotyczące zamówień i płatności.
Z przedstawionych informacji wynika, że dane te posłużyły autorom strony „lista-drillowcow.pl”, utworzonej 7 kwietnia, do stworzenia interaktywnej mapy Polski, na której zamieścili informacje odnoszące się do polskich klientów tego serwisu, tj. m. in. ich imiona i nazwiska oraz adresy dostawy. W kolejnych dniach tj. 8 i 9 kwietnia 2024 r. strona ta była niedostępna, ale interaktywna mapa z danymi pojawiała się pod innymi adresami, tj. „lista drillowcow.club” i „lista-drillowcow.xyz”.
Jak wyjaśnił urząd „w ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na wyżej wymienionych stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej. Tym samym naruszony został przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.”
Jak widać powyżej, naruszenie ochrony danych osobowych zostało potraktowane jako mające charakter umyślny. Zatem Prezes UODO 29 kwietnia 2024 r. zawiadomił Prokuraturę Rejonową Warszawa Śródmieście-Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com. Dane osobowe klientów chińskiej platformy zakupów online, pośredniczącej w zakupach od chińskich sprzedawców, wyciekły z serwisu i zostały opublikowane w zagregowanych formach na innych stronach internetowych: „Jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne. Z niedopuszczalnym przetwarzaniem danych osobowych mamy do czynienia, gdy odbywa się to bez podstawy prawnej i nie występuje żadna z przesłanek legalizacyjnych przetwarzanie danych określonych w przepisach RODO.”
Jednocześnie Prezes UODO w związku z tym wydarzeniem zapowiedział, że podejmie również inne właściwe działania w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.
W sieci Internet pojawiły się informacje, które wskazują, że bezpośrednią przyczyna wycieku danych z platformy pandabuy.com, a w konsekwencji odnotowanego przez Prezesa UODO naruszenia ochrony danych osobowych, było wykorzystanie przez przestępców kilku krytycznych luk w interfejsie API platformy oraz zidentyfikowano inne błędy umożliwiające dostęp do wewnętrznej usługi serwisu.
Skradzione informacje zostały przesłane na forum hakerów. Można je było zdobyć poprzez płatności dokonywane za pomocą kryptowalut przez każdego zarejestrowanego członka.
Ofiary wycieku danych powinny w związku z odnotowanym naruszeniem ochrony danych osobowych aktywnie zapobiegać potencjalnemu ryzyku, polegającym na staniu się celem ataku phishingowego. Z całą pewnością osoby korzystające z platformy PandaBuy powinny zresetować hasło. Jeżeli używały one tych samych danych logowania na wielu platformach internetowych, powinny je wszystkie zresetować. Zachować czujność wobec niechcianej korespondencji mailowej i załączników do takiej korespondencji. Być czujnym w stosunku do podejrzanych wiadomości i telefonów od potencjalnych oszustów podających się za pracowników banku lub innych instytucji (działania socjotechniczne wykorzystujące utracone dane mogą być skuteczne w przypadku braku czujności).
Oczywiście powyższe czynności mogą ustrzec ofiary wycieku danych przed dalszymi stratami natomiast nie są w stanie cofnąć efektów samego ich wycieku.
Podsumowując, tego typu wycieki danych osobowych powinny stanowić dla wszystkich użytkowników Internetu swoiste ostrzeżenie, jednak co do zasady są one trudne do wyeliminowania w 100%. Zatem pozostaje nam jako użytkownikom, stosowanie zasad higieny cyfrowej i poruszania się po zasobach Internetu w odpowiedzialny sposób, co w ostatecznym rozrachunku może ograniczyć dla nas szkody zaistniałego wycieku danych. Jednocześnie warto odnotować, że organ nadzorczy jakim w Polsce jest Prezes UODO zagregował na wyciek danych i poinformował organy odpowiedzialne za ściganie przestępstw. Sprawa z pewnością będzie miała dalszy bieg. Zobaczymy co z działań Prezesa UODO oraz Prokuratury wyniknie.
Autor: Radosław Aniszczyk