"Staraj się, aby Twoja teraźniejszość stała się miłym wspomnieniem w przyszłości"

Atak hakerski na Booking.com. Wyciekły dane klientów

Booking.com poinformował klientów o incydencie bezpieczeństwa, w wyniku którego nieuprawnione osoby mogły uzyskać dostęp do danych związanych z rezerwacjami użytkowników. W sieci pojawiają się już pierwsze zgłoszenia o próbach phishingu wykorzystujących informacje dotyczące nadchodzących podróży.

Booking.com poinformował klientów o incydencie bezpieczeństwa, w wyniku którego nieuprawnione osoby mogły uzyskać dostęp do danych związanych z rezerwacjami użytkowników.

Booking.com potwierdził,

W że naruszenie mogło objąć dane rezerwacyjne klientów, w tym informacje o podróżach, dane kontaktowe i szczegóły przekazywane obiektom noclegowym.

Użytkownicy zgłaszają ukierunkowane próby phishingu przez e-mail, telefon oraz WhatsApp, odnoszące się bezpośrednio do ich rzeczywistych rezerwacji.
Firma nie ujawniła dotąd skali incydentu ani sposobu, w jaki doszło do naruszenia systemów.

Jak informuje portal cybernews.pl, serwis Booking.com rozpoczął wysyłkę wiadomości do klientów, informując o incydencie bezpieczeństwa dotyczącym części rezerwacji.

W komunikacie przekazano, że „nieuprawnione osoby trzecie mogły uzyskać dostęp do określonych informacji o rezerwacji powiązanych z Państwa rezerwacją”.

Spółka poinformowała, że wykryła „podejrzaną aktywność dotyczącą pewnej liczby rezerwacji” i po jej zidentyfikowaniu miała natychmiast wdrożyć działania mające ograniczyć skutki incydentu.

Jakie dane mogły zostać ujawnione?

Według wstępnych ustaleń Booking.com, napastnicy mogli uzyskać dostęp do szeregu danych osobowych i organizacyjnych związanych z podróżami klientów.

Zakres potencjalnie ujawnionych informacji obejmuje:

szczegóły rezerwacji,
imiona i nazwiska klientów,
adresy e-mail,
adresy zamieszkania,
numery telefonów powiązane z rezerwacją,
informacje przekazane przez klientów obiektom noclegowym.

To szczególnie istotne, ponieważ część obiektów noclegowych wymaga od podróżnych przesyłania dodatkowych danych identyfikacyjnych, takich jak skany paszportów lub dokumentów tożsamości. Booking.com nie potwierdził jednak, czy tego typu informacje również znalazły się wśród przejętych danych.

Firma zaznaczyła jednocześnie, że obecnie nie ma informacji, aby naruszenie objęło dane płatnicze, w tym numery kart kredytowych lub rachunków bankowych.

· Pojawiły się pierwsze próby phishingu

Po wydaniu komunikatu przez firmę użytkownicy zaczęli zgłaszać podejrzane wiadomości i telefony, co może wskazywać na szybkie wykorzystanie przejętych danych przez cyberprzestępców.

Według relacji klientów oszuści kontaktują się z użytkownikami poprzez e-mail, telefon i WhatsApp, podszywając się pod przedstawicieli biur podróży, hoteli lub obsługi Booking.com. Charakterystyczne jest to, że wiadomości odnoszą się bezpośrednio do realnych, istniejących rezerwacji.

Jak opisuje cybernews.pl, jeden z klientów poinformował, że otrzymywał liczne telefony od osób podających się za biuro podróży, które próbowały potwierdzić jego rezerwację. Inny użytkownik opisał wiadomość na WhatsAppie od rzekomego menedżera ds. zameldowania, który również odnosił się do rzeczywistego pobytu hotelowego.

Atakujący mogą wykorzystywać wiedzę o podróżach ofiar

Dostęp do szczegółowych informacji o podróżach zwiększa skuteczność kampanii phishingowych. Gdy cyberprzestępca zna termin wyjazdu, nazwę hotelu czy lokalizację pobytu, może tworzyć bardziej wiarygodne wiadomości, które trudniej odróżnić od prawdziwej komunikacji.

W praktyce tego typu dane pozwalają na bardziej dopasowane oszustwa bazujące na realnych informacjach o ofierze. Taki model ataku często osiąga wyższą skuteczność niż standardowe masowe kampanie phishingowe.

· Nadal nie wiadomo, jak doszło do incydentu

Booking.com nie ujawnił dotąd technicznych szczegółów naruszenia. Nie wiadomo, w jaki sposób napastnikom udało się uzyskać dostęp do danych, czy za atakiem stoi konkretna grupa oraz czy skradzione informacje zostały już wyprowadzone z infrastruktury firmy.

Nieznana pozostaje także pełna skala incydentu oraz liczba klientów, których dane mogły zostać naruszone.

Ryzyko dalszych ataków i kradzieży tożsamości

Jeżeli dane rzeczywiście zostały wyprowadzone z systemów Booking.com, istnieje ryzyko ich dalszego wykorzystania lub sprzedaży na forach przestępczych.

W takim scenariuszu incydent może prowadzić nie tylko do kolejnych kampanii phishingowych, ale również do prób kradzieży tożsamości czy bardziej zaawansowanych oszustw socjotechnicznych.

Na obecnym etapie użytkownicy Booking.com powinni zachować szczególną ostrożność wobec wszelkich wiadomości dotyczących rezerwacji, zwłaszcza jeśli zawierają prośby o podanie danych, dokonanie płatności lub kliknięcie w link prowadzący do zewnętrznej strony.

· Źródło: https://cyberdefence24.pl/

Księgi wieczyste i Krajowy Rejestr Sądowy w aplikacji mObywatel

mObywatel staje się jeszcze bardziej funkcjonalny. Od 31 marca 2026 r. w aplikacji pojawił się dostęp do elektronicznych dokumentów z Ksiąg Wieczystych, a dwa miesiące później użytkownicy zyskają wgląd w swoje powiązania w Krajowym Rejestrze Sądowym. To kolejny krok w cyfryzacji usług publicznych, który pozwoli załatwić formalności sądowe bez wychodzenia z domu.

W aplikacji mObywatel już od 31 marca br. została wprowadzona usługa dostępu do elektronicznych dokumentów z Ksiąg Wieczystych (KW). Natomiast od 31 maja br. będzie można błyskawicznie sprawdzić swoje powiązania w Krajowym Rejestrze Sądowym (KRS).

Nowości w Księgach Wieczystych

Wygoda - zapomniałeś numeru księgi wieczystej nieruchomości, której jesteś właścicielem lub współwłaścicielem? Żaden problem. Możesz łatwo sprawdzić numer poprzez mObywatela.

Szybki dostęp do dokumentów - korzystając z aplikacji możesz zamówić oraz pobrać odpis, wyciąg i zaświadczenie o zamknięciu księgi wieczystej dla nieruchomości, której jesteś właścicielem (współwłaścicielem).

Nowości w Krajowym Rejestrze Sądowym

Od 31 maja br. aplikacja mObywatel zostanie wzbogacona o moduł KRS. Użytkownicy będą mogli w czasie rzeczywistym weryfikować dane dotyczące podmiotów, z którymi są powiązani (np. jako członkowie zarządu, wspólnicy czy członkowie stowarzyszeń i fundacji).

Dzięki integracji z numerem PESEL mObywatel automatycznie wygeneruje listę podmiotów, w których obywatel figuruje w rejestrach:

· przedsiębiorców,

· stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej.

Nowy wymiar cyfryzacji

Nowe funkcjonalności aplikacji to dowód na to, że państwo stawia na mobilność. Przeniesienie kluczowych dokumentów do smartfona pozwala oszczędzać czas, pieniądze i eliminuje konieczność fizycznego odwiedzania sądów w sprawach, które można załatwić kilkoma kliknięciami.

Nowe funkcje mObywatela będą dostępne w sklepie Google Play dla urządzeń działających na systemie Android i Apple Store dla działających na systemie iOS.

Wojsko Polskie ostrzega przed oprogramowaniem wykradającym dane

Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni ostrzega przed złośliwym oprogramowaniem wykradającym dane z zainfekowanych urządzeń. Przeprowadzone przez specjalistów DKWOC analizy wykazały, że zagrożenie utrzymuje się na stale wysokim poziomie.

Mowa o wykorzystaniu infostealerów do pozyskania cennych informacji znajdujących się na sprzęcie ofiar. Działają one w ukryciu, nie wywołując żadnych alertów lub powiadomień antywirusowych.

W praktyce wystarczy

kilka-kilkanaście sekund, aby oprogramowanie wykradło takie dane jak np.:

dane uwierzytelniające (loginy i hasła) zapisane w przeglądarkach internetowych oraz innych aplikacjach i plikach konfiguracyjnych;
pliki cookies (pozwalające na przejęcie sesji i uzyskanie dostępu do konta użytkownika bez konieczności podawania loginu i hasła, a nawet drugiego składnika uwierzytelnienia);
dane zapisane w formularzach (karty kredytowe, adres zamieszkania, imię, nazwisko, numer telefonu);
dane dostępowe do portfeli kryptowalutowych.

Najczęściej do infekcji dochodzi poprzez pobranie i uruchomienie oprogramowania. DKWOC wymienia tu m.in.:

pobieranie plików pod wpływem reklam z fałszywych witryn internetowych;
pobieranie sterowników lub pakietów sterowników do urządzeń ze strony innej niż producenta urządzenia;
fałszywe instalatory lub aktualizacje przeglądarek internetowych;
instalację gier komputerowych pozyskanych z nielegalnych lub niezweryfikowanych źródeł;
instalację „cracka" do płatnego oprogramowania w celu jego darmowej aktywacji;
używanie nielegalnych generatorów kluczy aktywacyjnych, tzw. keygenów.

· Gdy dojdzie do infekcji, a następnie kradzieży danych mogą pojawić się sygnały ostrzegawcze, że „coś jest nie tak”. To np. zmiana loginów i haseł do serwisów, z których korzystamy bez naszej wiedzy albo podejrzane logowania, gdy nie korzystaliśmy z określonej usługi.

Do tego dochodzi rozsyłanie wiadomości mailowych lub w komunikatorach (np. do znajomych z prośbą o BLIK-a) czy też alerty bezpieczeństwa, które mogą zostać uruchomione w niektórych usługach.

Recepta?

Dbanie o możliwie najwyższy poziom bezpieczeństwa i higienę cyfrową. Nie warto tracić czujności: ostrożność i ograniczone zaufanie, zwłaszcza przy pobieraniu plików z sieci, są kluczowe.

Absolutną podstawą powinno być też stosowanie uwierzytelniania dwuskładnikowego, najlepiej w postaci kluczy U2F .

Źródło: https://cyberdefence24.pl/

Nie można kopiować dokumentów bez podstawy prawnej

Spółka Restaurant Partner Polska prowadząca platformę Glovo naruszyła przepisy o ochronie danych osobowych, gdyż bez podstawy prawnej pozyskiwała skany oraz zdjęcia dowodów tożsamości użytkowników aplikacji mobilnej, służącej m.in. do zamawiania posiłków. Prezes UODO Mirosław Wróblewski za naruszenie przepisów o ochronie danych osobowych nałożył na nią administracyjną karę pieniężną w wysokości 5 898 064 zł.

Sprawa była następstwem kontroli Prezesa UODO obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”. Organ nadzorczy zbadał podstawy prawne, cele i zakres przetwarzania danych użytkowników aplikacji.

Jak ustalił Prezes UODO, w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje.

Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora, tj. w tym przypadku weryfikacji tożsamości osoby podejrzanej o oszustwo. Argumentowała też, że przypadki żądania dokumentu były stosowane wyjątkowo, zaś przetwarzanie było poprzedzone oceną skutków dla ochrony danych oraz testem równowagi.

Prezes UODO nie podzielił tej argumentacji. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości.

Prezes Urzędu wskazał, że kopiowanie lub utrwalanie dokumentów tożsamości powinno być stosowane wyłącznie w wyjątkowych przypadkach przez konkretne i upoważnione ustawowo podmioty oraz w sytuacjach wyraźnie przewidzianych przepisami prawa – taka podstawa mogłaby zaś wynikać z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, która jednak przyznaje takie uprawnienia wyłącznie wskazanym w niej instytucjom. Restaurant Partner Polska nie należy do tej kategorii podmiotów, dlatego nie może powoływać się na takie kompetencje.

Również ustawa z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną nie stanowi w tym przypadku podstawy prawnej do przetwarzania pełnych skanów dokumentów tożsamości. Organ nadzorczy uznał, że żądanie takich danych nie było niezbędne do zawarcia, kształtowania ani realizacji lub rozwiązania umowy między stronami. Przetwarzanie danych dla weryfikacji tożsamości nie zmierzało również do celów zdefiniowanych w tej ustawie. Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych. Wziął również pod uwagę przepisy ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, która przewiduje szczególny reżim ochronny wobec dokumentów publicznych pierwszej kategorii, do których należą dowód osobisty oraz paszport. W związku z tym działania spółki można uznać za wątpliwe również z perspektywy wykładni przepisów ustawy, której celem jest ochrona najistotniejszych dokumentów publicznych.

W konsekwencji ustaleń Prezes UODO stwierdził, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów. Zakres danych pozyskiwanych przez administratora obejmował pełne dane osobowe zawarte w dokumencie tożsamości, w tym imię, nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, numer PESEL, serię i numer dokumentu, datę wydania i ważności, adres zamieszkania, wizerunek oraz inne informacje widoczne na dokumencie. W związku z tym naruszył zasady zgodności z prawem, rzetelności i przejrzystości oraz minimalizacji danych (art. 5 ust. 1 lit. a i c RODO).

W ocenie Prezesa UODO brak legalności przetwarzania danych oznacza też naruszenie zasady rozliczalności (art. 5 ust. 2 RODO).

Wymiar kary nałożonej przez Prezesa UODO (5 898 064 zł) uwzględnia charakter i wagę naruszenia, długi okres jego trwania – od lipca 2019 r. – oraz potencjalnie szeroką skalę oddziaływania, ponieważ baza danych obejmowała ponad 3,4 mln aktywnych użytkowników w Polsce. Organ nadzorczy wskazał też na realne ryzyko szkody niemajątkowej w postaci obawy użytkowników aplikacji przed utratą kontroli nad danymi i kradzieżą tożsamości.

Prezes Urzędu uznał naruszenie za poważne, gdyż dotyczyło podstawowych zasad przetwarzania danych osobowych. Natomiast kara administracyjna ma zdaniem organu nadzorczego charakter skuteczny, proporcjonalny i odstraszający. Decyzja Prezesa UODO uświadamia również, że nawet w sytuacji podejrzenia oszustwa administrator danych ma obowiązek przestrzegania prawa, a stosowane procedury antyfraudowe nie mogą prowadzić do pozyskiwania nadmiarowych danych bez jednoznacznej podstawy prawnej.

Organ nadzorczy nakazał spółce również zaprzestanie pozyskiwania oraz dalszego przetwarzania skanów i zdjęć dowodów osobistych lub paszportów użytkowników aplikacji Glovo oraz usunięcie danych zebranych w ten sposób w terminie 30 dni od doręczenia decyzji.

Bezpieczeństwo danych Polaków. Tyle zgłoszeń naruszeń jeszcze nie było!

Cyberprzestępcy na masową skalę polują na dane Polaków. Z najnowszych raportów CERT Polska oraz UODO za 2025 rok wynika, że liczba zgłoszonych incydentów przekroczyła barierę 600 tys. Statystyki dotyczące naruszeń ochrony danych biją kolejne rekordy. To pokazuje, że zagrożenie jest realne i może dotknąć każdego.

W 2025 r. CERT Polska odnotował 600 tys. zgłoszeń incydentów, z czego obsłużono 250 tys. Z kolei w przypadku UODO mówimy o ponad 22 tys., co stanowi znaczący wzrost w porównaniu do 2024 r.

Polacy są coraz bardziej świadomi i chętniej zgłaszają incydenty. Co ważne, wiedzą jak i gdzie to robić, co potwierdzają statystyki.

„Cyberprzestępcy nie hakują systemów; hakują ludzi" – to hasło, które powinniśmy wszyscy zapamiętać. Dlaczego?

Schemat w wielu przypadkach jest podobny: cyberatak lub przejęcie danych w inny sposób —> publikacja próbki —> żądanie okupu za niepublikowanie całego pakietu. To pokazuje, że strefa ochrony danych i cyberbezpieczeństwa są ze sobą ściśle związane.

Polacy zgłaszają incydenty. Znamy najnowsze statystyki

W środę 28 stycznia br., podczas Kongresu Ochrony Danych Osobowych i Nowych Technologii, Iwona Prószyńska, kierownik Zespołu Strategicznej Komunikacji Cyberbezpieczeństwa NASK przekazała, że w 2025 r. odnotowano 600 tys. zgłoszeń incydentów, z czego obsłużono 250 tys. Dla porównania w 2024 r. ta liczba wyniosła 100 tys., co pokazuje znaczny wzrost.

W odniesieniu do ransomware, czyli rodzaju ataków, który często ma na celu właśnie m.in. kradzież danych i żądanie okupu, obsłużono 179 przypadków.

Z kolei według danych przekazanych przez Andrzeja Zielińskiego, Naczelnika w Departamencie Kontroli i Naruszeń w Urzędzie Ochrony Danych Osobowych (UODO), Prezes instytucji odnotował ponad 50-procentowy wzrost liczby zgłoszeń dotyczących naruszeń ochrony danych osobowych: w 2025 r. było ich ponad 22 400, z kolei w 2024 r. – ok. 14 000.

Źródło: cyberdefence24.pl

NSA potwierdził argumentację Prezesa UODO w sprawie Banku Millennium

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą na bank administracyjną karę pieniężną w wysokości ponad 350 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o nim osób, których dane dotyczą. Tym samym NSA podzielił argumentację Prezesa UODO.

Prezes Urzędu nałożył na Bank Millennium administracyjną karę pieniężną w związku z tym, że Bank nie zrealizował spoczywających na nim, jako administratorze, obowiązków związanych z naruszeniem ochrony danych osobowych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi klientów banku, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator uznał bowiem, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował obowiązku związanego z powiadomieniem osób, których dane dotyczą w sposób zgodny z RODO. Zaniechanie zawiadomienia o naruszeniu organu nadzorczego (naruszenie art. 33 ust. 1 RODO) oraz zawiadomienia osób, których dane dotyczą (naruszenie art. 34 ust. 1) było przyczyną nałożenia kary.

Bank Millennium złożył na decyzję Prezesa UODO skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

WSA w swoim wyroku nie miał jednak wątpliwości, że incydent, którego dotyczyło postępowanie, stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO (naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych). Co więcej, bank nie posiadał informacji o tym, co się stało z ww. przesyłką – i zdaniem WSA oznaczało to jeszcze mocniejsze potwierdzenie, że doszło do naruszenia przepisów o ochronie danych osobowych. W opinii Sądu organ nadzorczy prawidłowo również uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. WSA podkreślił poza tym, że bank jako administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności przyjął średni poziom tego ryzyka, przez co właśnie co najmniej powinien dokonać zgłoszenia do UODO.

W związku z wyrokiem WSA Bank Millennium złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, wnosząc o uchylenie wyroku w całości. Zaznaczył w niej m.in., że WSA zastosował błędną wykładnię prawa, przyjmując, że bank był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia podmiotów danych o naruszeniu, podczas gdy w chwili zagubienia przesyłki to firma kurierska sprawowała władztwo nad przesyłką i w konsekwencji była administratorem danych. Bank nie zgodził się także z administracyjną karą pieniężną, nałożoną przez Prezesa UODO, stwierdzając, że WSA bez analizy przesłanek przyjął, że kara ta jest skuteczna, proporcjonalna i odstraszająca.

Argumenty te nie przekonały jednak NSA, który oddalił skargę Banku Millenium.

Wyrok NSA: sygn. III OSK 2416/22

Informacja o naruszeniu ochrony danych osobowych w Urzędzie Zamówień Publicznych i Krajowej Izbie Odwoławczej

Informujemy, że 10 grudnia 2025 r. otrzymaliśmy informację, że doszło do naruszenia ochrony danych osobowych. Niniejsze powiadomienie ma na celu wyjaśnienie charakteru zdarzenia, potencjalnych konsekwencji oraz przedstawienie działań podjętych przez Urząd Zamówień Publicznych oraz Krajową Izbę Odwoławczą, (dalej razem jako „Urząd” lub „My”) i zaleceń dotyczących ochrony Państwa danych.

1. Charakter naruszenia

W systemie poczty elektronicznej Urzędu poprzez celowe i szkodliwe działanie cyberprzestępcy doszło do uzyskania dostępu do skrzynek e-mail pracowników Urzędu. Ustalenia techniczne wskazują na możliwość pobrania zawartych w niej wiadomości.

W skrzynkach tych znajdowała się korespondencja zawierająca dane osobowe. W zależności od charakteru prowadzonych spraw mogłyby się w niej znajdować różne kategorie danych, w tym dane identyfikacyjne i kontaktowe, informacje finansowe, a także inne dane przekazywane Urzędowi w ramach realizowanych zadań, np. w związku z kontrolami, skargami, wnioskami, postępowaniami odwoławczymi czy sprawami organizacyjnymi.

Na tę chwilę, Urząd nie ma informacji, by dane te zostały udostępnione do wiadomości publicznej. Niemniej, by temu zapobiec i ograniczyć skutki naruszenia, ściśle współpracujemy z właściwymi organami.

2. Możliwe konsekwencje naruszenia

W zależności od przekazanych przez Państwa danych, możliwe konsekwencje to:

utrata kontroli nad własnymi danymi osobowymi;
próby podszycia się pod Państwa tożsamość w celu uzyskania korzyści finansowych (np. zaciąganie pożyczek w instytucjach pozabankowych),
próby uzyskania przez osoby trzecie dostępu do świadczeń opieki zdrowotnej (często do uzyskania pomocy lekarskiej wystarczy podanie numeru PESEL) lub uzyskania wglądu do danych;
próby wyłudzania przez osoby trzecie informacji finansowych (często weryfikacja jest prowadzona jedynie przez podanie numeru PESEL);
próby uzyskania dostępu do usług lub serwisów internetowych, w których stosowane jest potwierdzanie tożsamości za pomocą danych osobowych (np. PESEL, adres e-mail),
podejmowanie działań w Państwa imieniu, takich jak zakładanie kont w serwisach internetowych, rejestrowanie kart prepaid;
podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej);
wykonywanie innych czynności mogących wywołać skutki prawne, np. próby zawierania na Państwa szkodę umów cywilnoprawnych (np. najmu nieruchomości);
próby wyłudzeń, oszustw lub tzw. ataków socjotechnicznych (phishing),
próby wykorzystania informacji zawartych w Państwa korespondencji e-mail.

3. Środki zastosowane przez UZP

Po wykryciu incydentu, niezwłocznie podjęliśmy działania by zdarzenie wyjaśnić, wdrożyć zabezpieczenia, które ograniczą skutki naruszenia oraz zapobiegną podobnym zdarzeniom w przyszłości. W ciągu pierwszej doby:

zgłosiliśmy incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa
usunęliśmy nieuprawniony dostęp i poświadczenia,
wymusiliśmy zmianę haseł i odcięliśmy potencjalne kanały dostępu,
zweryfikowaliśmy uprawnienia w systemach chmurowych i prowadzimy działania naprawcze w konfiguracji środowiska,
wszczęliśmy wewnętrzne postępowania wyjaśniające,
zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych.

4. Działania, które możecie Państwo wykonać już teraz:

W celu zminimalizowania ryzyka wykorzystania Państwa danych przez osoby nieuprawnione rekomendujemy:

zmianę hasła do konta e-mail, z którego się Państwo z Nami kontaktowali,
zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu,
zachowanie szczególnej ostrożności wobec nieoczekiwanych wiadomości e-mail i telefonów,
nieotwieranie podejrzanych linków ani załączników,
monitorowanie aktywności na rachunkach bankowych oraz w usługach elektronicznych,
rozważenie założenia konta w systemie informacji kredytowej lub gospodarczej,
rozważenie zastrzeżenia numeru PESEL w usłudze: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie, lub aplikacji mObywatel,
jak najszybsze poinformowanie właściwego podmiotu o każdej próbie wykorzystania Państwa danych w sposób nieuprawniony.

5. Kontakt

Jeżeli mają Państwo pytania lub chcą przekazać dodatkowe informacje związane z naruszeniem, prosimy o kontakt z Naszymi Inspektorkami Ochrony Danych:

Natalią Bender i/lub Małgorzatą Przewalską

Adres e-mail: iod.uzp@uzp.gov.pl

Listownie: na adres: Urząd Zamówień Publicznych, ul. Postępu 17A, 02-676 Warszawa.

NSA oddalił skargę kasacyjną KSSiP

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury, która nie zgodziła się z karą 100 tys. zł nałożoną przez Prezesa UODO za naruszenie przepisów o ochronie danych osobowych.

Sprawa swoim początkiem sięga roku 2020, kiedy KSSiP zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych. Przyczyną był szeroki wyciek danych nawet tysięcy sędziów, prokuratorów, asesorów sądowych i prokuratorskich do sieci. Nastąpił on w trakcie migracji danych do platformy szkoleniowej. Kategorie danych osobowych, których dotyczyło naruszenie, obejmowały nie tylko imiona, nazwiska, adresy mailowe, ale też hasła dostępu czy adresy IP.

W toku postępowania PUODO ustalił, że proces przetwarzania danych KSSiP zleciła zewnętrznej firmie (podmiotowi przetwarzającemu) i odbywał się on z zaniedbaniem odpowiednich środków technicznych oraz organizacyjnych (m.in. Administrator nie sprawdził, czy kopia danych po przeprowadzeniu migracji została usunięta z serwera).

W związku z zaistniałą sytuacją Prezes UODO nałożył na Krajową Szkołę Sądownictwa i Prokuratury karę administracyjną w wysokości 100 tys. zł. Powodem kary był nie sam fakt naruszenia poufności danych, lecz okoliczność, w której KSSiP nie podjęła wystarczającej weryfikacji środowiska ani nie zaangażowała podmiotu przetwarzającego w ustalenie, czy dane są wystarczająco zabezpieczone.

KSSiP nie zgodziła się z argumentacją PUODO, wskazując, że środki bezpieczeństwa zapewnione w procesie migracji były wystarczające, a błąd, wynikający ze sposobu pracy jednego z informatyków, popełniła firma zewnętrzna. KSSiP nie zgodziła się również z wysokością orzeczonej kary.

Prezes UODO nie przyjął tych wyjaśnień. Podobnie uczynił Wojewódzki Sąd Administracyjny, podkreślając, że odpowiedzialność za proces przetwarzania danych spoczywa przez cały czas na administratorze, a nie na podmiocie przetwarzającym.

Ostatecznie sprawę rozstrzygnął Naczelny Sąd Administracyjny, zaznaczając w wyroku, że KSSiP nie podjęła starań zabezpieczenia całego procesu migracji danych ani nie informowała zewnętrznej firmy o oczekiwaniach dotyczących tej operacji. Według NSA administrator jest inicjatorem działań jako podmiot decydujący o celach oraz sposobach przetwarzania. To, czy do wycieku doszło w efekcie błędu pracownika firmy zewnętrznej, czy z innych przyczyn, nie ma znaczenia dla odpowiedzialności administratora wynikającej z art. 32 RODO.

NSA stwierdził też, że wysokość kary administracyjnej nie budzi wątpliwości. Zauważył również, że wobec skali stwierdzonych uchybień, leżących po stronie Administratora, kara w przypadku podmiotu prywatnego byłaby dalece wyższa (w przypadku podmiotu publicznego istnieje górne ograniczenie ustawowe do 100 tys. zł).

Dziś już wszyscy lepiej dbamy o dane osobowe!

W sferze publicznej nadal zbyt mało wagi przywiązujemy do ochrony danych osobowych, ich znaczenie może ujść naszej uwadze, zwłaszcza gdy angażujemy się w realizację jakiegoś słusznego celu. Tymczasem o danych osobowych nie można zapominać nigdy. Krzywda wyrządzona drugiemu człowiekowi przez nieopatrzne ich ujawnienie może być nie do naprawienia.

Na straży naszych danych i naszego prawa do prywatności stoi RODO – unijne rozporządzenie ogólne o ochronie danych osobowych. Stosowane jest ono już od siedmiu lat – właśnie minęła kolejna rocznica. „Dziś już wszyscy lepiej dbamy o dane. To już nie jest temat specjalistyczny”. RODO ma jednak opinię prawa specjalistycznego i zbyt obciążającego na przykład małe i średnie przedsiębiorstwa czy organizacje pozarządowe. Moje stanowisko jest jasne: problemem nie jest RODO, ale przede wszystkim zbyt formalistyczny sposób jego stosowania w praktyce. Prawo ochrony danych jest elastyczne właśnie dlatego, że jest oparte na analizie ryzyka, a nie na rygorystycznym wypełnianiu mnóstwa szczegółowych zaleceń.

Podkreślić należy to, że dane osobowe są wszędzie i dotyczą każdej dziedziny życia. Świadomość znaczenia danych osobowych wzrasta, choć nie zawsze wyciągamy z tego właściwe wnioski.

Wyciekły imiona, nazwiska, nr telefonów, maile, adresy. Ogromny wyciek ze znanej drogerii i sieci aptek

Super-Pharm poinformował o poważnym naruszeniu bezpieczeństwa danych osobowych swoich klientów. Atak hakerski, wykryty 21 października, wykorzystał lukę w zabezpieczeniach zewnętrznego systemu Adobe Commerce (Magento), używanego przez internetowy sklep drogerii. Wyciekły szerokie dane.

Mechanizm ataku

Przestępcy uzyskali dostęp do bazy danych zawierającej informacje o zamówieniach i rezerwacjach klientów. W zasięgu hakerów znalazły się dane takie jak imiona, nazwiska, adresy e-mail, numery telefonów oraz adresy dostaw. Co istotne, wyciek dotyczy również osób, które nie posiadały konta w serwisie.

Sieć drogerii zapewnia, że na razie nie ma dowodów na pobranie wrażliwych danych przez przestępców. Naruszenie nie objęło informacji związanych z uczestnictwem w Klubie Super-Pharm ani danych logowania do aplikacji mobilnej.

W reakcji na incydent firma podjęła natychmiastowe działania zabezpieczające. Zablokowano dostęp do systemu i usunięto lukę w zabezpieczeniach. O sytuacji zostały powiadomione odpowiednie służby: prezes UODO, policja oraz CERT Polska. Przeprowadzono również kompleksowy skan bezpieczeństwa systemów.

Możliwe ataki

Eksperci ds. cyberbezpieczeństwa ostrzegają, że klienci Super-Pharm powinni zachować szczególną czujność wobec potencjalnych ataków phishingowych. Przestępcy mogą wykorzystać zdobyte dane do podszywania się pod różne instytucje, w tym samą drogerię, próbując wyłudzić dalsze informacje lub dane dostępowe do ważnych serwisów, takich jak bankowość internetowa.

Zaleca się szczególną ostrożność wobec:

Nieoczekiwanych wiadomości e-mail z „promocjami” Super-Pharm
SMS-ów z podejrzanymi linkami
Telefonów od osób podających się za pracowników drogerii

Super-Pharm prowadzi stały monitoring sieci w poszukiwaniu śladów ewentualnego wykorzystania wykradzionych danych i deklaruje gotowość do podjęcia dalszych kroków w celu ochrony swoich klientów.

Źródło: https://warszawawpigulce.pl/wyciekly-imiona-nazwiska-nr-telefonow-maile-adresy-ogromny-wyciek-ze-znanej-drogerii-i-sieci-aptek/

Coraz więcej prób wyłudzeń danych. Jak złodzieje kradną numer PESEL

Liczba prób wyłudzeń kredytowych i kradzieży danych jest coraz większa, ale wielu z nas wciąż nie wie, w jaki sposób oszuści kradną nasze numery PESEL. Złodzieje znaleźli już nawet sposób na sprawdzenie, który PESEL jest zastrzeżony, a który nie. Aby nielegalnie zdobyć nasze dane, oszuści najczęściej uciekają się do... socjotechniki.

Jak złodzieje kradną numer PESEL?

Jak złodzieje kradną numer PESEL? Okazuje się, że oszuści najczęściej wyłudzają dane, podszywając się pod instytucje finansowe lub rządowe. Przykładem takiej sytuacji były pojawiające się niedawno fałszywe wiadomości ze skarbówki, które odsyłały odbiorcę do strony przechwytującej nasze dane.

Ofiara oszustwa często jest przekonana, że dana instytucja wymaga od niej szybkiego działania. Wizja problemów powoduje duży stres, przez co często zapomnieć można o podstawowych zasadach bezpieczeństwa.

Jak złodzieje kradną numer PESEL?

Innym przykładem nieuczciwego przechwycenia numeru PESEL są rozmowy telefoniczne, w których oszuści podszywają się pod pracowników banków, chcących przeprowadzić weryfikację usług. Oczywiście pod żadnym pozorem nigdy nie powinniśmy w takiej sytuacji podawać nikomu naszych danych.

Ostrożność należy zachować również, mówiąc nasz numer PESEL na głos w miejscach publicznych np. w aptece, gdy realizujemy e-receptę. Nawet taka sytuacja może doprowadzić do nieautoryzowanego użycia naszych danych. Aby temu zapobiec, warto skorzystać z aplikacji mObywatel i mojeIKP, dzięki którym zrealizujemy recepty bez głośnego podawania poufnych informacji.

Aby ochronić się przed nieuprawnionym użyciem naszego numeru PESEL, warto zastrzec go w aplikacji, na stronie internetowej czy w wybranym urzędzie. Zastrzeżenie numeru PESEL uchroni nas przed kradzieżą tożsamości i wzięciem pożyczki na nasze dane.

Zastrzeżony PESEL nie ma wpływu na realizację większości czynności życia codziennego, gdzie korzystać musimy z naszych danych — w sprawach urzędowych, zdrowotnych, udziale w wyborach czy dla ważności dokumentów.

Źródło: Onet Wiadomości

15 października 2024, 12:20

ODPOWIEDZIALNOŚĆ DYREKCJI SZKOŁY ZA DANE ZAWARTE W PIŚMIE Z SĄDU RODZINNEGO

Prezes UODO udzielił upomnienia szkole w miejscowości Z. za publiczne przypisanie rodzicom ucznia autorstwa anonimu napisanego do sądu rodzinnego przez kogoś ze wspólnoty szkolnej w sprawie tego, co dzieje się w jednej z klas.

Sąd rodzinny w Z. przekazał szkole anonimowe pismo opisujące problem placówki (dotyczyło agresywnych zachowań uczniów w klasie). Na zebraniu rodziców dyrektorka ogłosiła, kto jej zdaniem to pismo napisał. Przypisała jego autorstwo rodzicom, którzy doprowadzili do zwołania zebrania w sprawie zachowania dzieci w klasie. Ostrzegła, że informowanie o problemach uczniów doprowadzi do sądowej i policyjnej ingerencji w życie rodzin. Wskazani przez nią rodzice zaprotestowali. A potem poskarżyli się do UODO – podkreślili, że nie są autorami tego pisma. Mówili o tym zresztą na zebraniu. Zgłaszali też, że niezgodne z prawem jest ujawnianie treści pisma sądowego na forum klasy, skoro żaden z rodziców nie jest jego autorem ani nie zostało doręczone żadnej osobie wymienionej w jego treści.

Po zbadaniu sprawy UODO stwierdził, że dyrekcja szkoły po otrzymaniu pisma z sądu stała się administratorem danych osób wymienionych w tym piśmie. Jednak mogła te dane przetwarzać wyłącznie w celu, dla jakiego została zobowiązana przez sąd, a więc sporządzenia opinii na temat konkretnych dzieci. Powiadomienie rodziców o wpłynięciu anonimu do sądu oraz poinformowanie o treści i przypisywanie autorstwa stanowiło naruszenie przepisów o ochronie danych osobowych.

Okoliczności te potwierdzają, że przetwarzanie danych osobowych skarżących podczas zebrania, stanowiło naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a i lit. b RODO.

Sygnatura sprawy: DS.523.2738.2023

Zmieniający się krajobraz sieci. O zagrożeniach i wyzwaniach w Dniu Bezpiecznego Internetu

Blisko połowa nastolatków, jak wynika z badań NASK, spotyka się w internecie z sytuacjami, kiedy ich znajomi są atakowani i wyzywani. Co trzeci zetknął się w sieci z poniżaniem i ośmieszaniem. Dzień Bezpiecznego Internetu (DBI), obchodzony 6 lutego, to okazja, by pokazać najmłodszym, jak bezpiecznie poruszać się w sieci, a dorosłym przekazać wiedzę o sposobach ich ochrony przed internetowym złem. Koordynatorami obchodów w Polsce są NASK – Państwowy Instytut Badawczy i Fundacja Dajemy Dzieciom Siłę.

Dzień Bezpiecznego Internetu to coroczna ogólnoświatowa akcja, która ma na celu edukację w zakresie bezpiecznego korzystania z sieci, promocję dobrych praktyk internetowych oraz skłonienie do refleksji nad rolą wirtualnej rzeczywistości w życiu dzieci. Jest kierowana przede wszystkim do dzieci i młodzieży oraz osób, instytucji i organizacji mających wpływ na ich wychowanie i kształtowanie cyfrowych umiejętności.

Głównym elementem obchodów Dnia Bezpiecznego Internetu w Polsce są lokalne inicjatywy na rzecz bezpieczeństwa młodych użytkowników. Jak co roku organizatorzy zapraszają do udziału placówki oświatowe i kulturalne – szkoły, biblioteki, domy kultury, a także firmy i osoby prywatne. W tym roku zgłoszono już ponad 2000 inicjatyw. Pomysły można zgłaszać do końca marca br. za pomocą elektronicznego formularza, który dostępny jest na stronie DBI.pl.

Gala Dnia Bezpiecznego Internetu

6 lutego w godzinach 11:00-15:00 w Teatrze Palladium w Warszawie (ul. Złota 9) odbędzie się Gala DBI 2024, na którą organizatorzy zapraszają dziennikarzy, edukatorów, popularyzatorów, wychowawców, nauczycieli oraz wszystkich zainteresowanych tematyką bezpieczeństwa dzieci i nastolatków online. Udział w wydarzeniu jest bezpłatny, po wcześniejszej rejestracji.

Czym wypełnione są godziny, które dzieci i młodzież spędzają przed ekranem, co znaczy dla nastolatków hejt w sieci i dlaczego tak ciężko im prosić o pomoc, gdy są ofiarami bądź świadkami przemocy w internecie i czy to prawda, że zalew szkodliwych treści sprawia, że coraz trudniej młodym ludziom rozpoznać treści, które mogą być dla nich niebezpieczne, źle wpływać na ich emocje. To wszystko pytania, na które świat dorosłych musi znać odpowiedź, aby móc być prawdziwym oparciem i mądrym przewodnikiem dla dzieci, które najsilniej doświadczają cyfrowej rewolucji – mówi Anna Rywczyńska, koordynatorka Polskiego Centrum Programu Safer Internet w Państwowym Instytucie Badawczym NASK. – Nie da się tego osiągnąć bez zapewnienia aktywnego uczestnictwa młodych ludzi we wszelkich procesach decyzyjnych związanych z działaniami na rzecz bezpiecznego internetu, stąd tak ważny udział w Gali przedstawicielki młodzieżowego panelu doradczego wpierającego NASK w codziennej pracy na rzecz ochrony dzieci przed zagrożeniami.

Fundacja Dajemy Dzieciom Siłę od lat bardzo konsekwentnie realizuje wiele działań na rzecz bezpieczeństwa dzieci w internecie. Już 20 lat temu organizowaliśmy pierwszą w Polsce kampanię społeczną, której hasło „Nigdy nie wiadomo, kto jest po drugiej stronie” zwracało uwagę dorosłych na problem uwodzenia dzieci online – mówi Łukasz Wojtasik z Fundacji Dajemy Dzieciom Siłę. Czasy się zmieniają, a problem uwodzenia ewoluuje, przybierając nowe formy. Tam, gdzie kiedyś głównym zagrożeniem byli „obcy” w internecie, dziś widzimy, że m.in. popularni influencerzy stają się nieoczekiwanym źródłem tego rodzaju zagrożeń. „Pandora Gate” to doskonały przykład, jak świat cyfrowy może być miejscem, gdzie bezpieczeństwo młodych ludzi jest narażone na nowe wyzwania. Dlatego jako Fundacja przygotowaliśmy nową odsłonę tej znanej kampanii, a jej premiera będzie miała miejsce właśnie podczas tegorocznej gali DBI – dodaje Wojtasik.

Zagrożenia i wyzwania

Z badań prowadzonych regularnie przez NASK wynika, że wydłuża się dzienny czas, jaki nastolatki spędzają w sieci i wynosi teraz średnio 5h 36 min. (w 2020 r. – 4h 50 min.) Ponad 2/3 młodych internautów zauważa, że w sieci problemem jest mowa nienawiści i bezkarność tych, którzy jej używają. Ponad 40 proc. twierdzi, że nie można odróżnić w niej treści prawdziwych od fałszywych. Prawie co trzeci nastolatek wykazuje się wysokim natężeniem wskaźników problematycznego użytkowania internetu (PUI).

To tylko kilka powodów, które tłumaczą potrzebę rzetelnego i regularnego przypominania o wpływie sieci na najmłodszych użytkowników. Dzień Bezpiecznego Internetu to skoordynowana kampania, która pozwala dotrzeć do szerokiego grona młodzieży z wiedzą o bezpiecznych zasadach cyfrowego świata.

Wydarzenie jest organizowane przez Polskie Centrum Programu Safer Internet tworzone przez NASK – PIB i Fundację Dajemy Dzieciom Siłę. Przedsięwzięcie to zostało zapoczątkowane w 2004 roku z inicjatywy Komisji Europejskiej i dziś jest kontynuowane jako część unijnego programu „Digital Europe”. Głównym Partnerem obchodów Dnia Bezpiecznego Internetu jest Fundacja Orange, a Partnerami – Google, Meta, Samsung, Związek Cyfrowa Polska i Librus. Honorowy patronat objęły: Ministerstwo Cyfryzacji, Ministerstwo Edukacji Narodowej oraz Rzeczniczka Praw Dziecka.

Źródło: https://www.nask.pl/pl/aktualnosci/5339,Zmieniajacy-sie-krajobraz-sieci-O-zagrozeniach-i-wyzwaniach-w-Dniu-Bezpiecznego-.html

Sprawdź, zanim udostępnisz

„Sprawdź, zanim udostępnisz” – nowa kampania przeciwdziałania dezinformacji przygotowana przez NASK, Ministerstwo Cyfryzacji i brytyjską jednostkę Government Communications Service International

Pod hasłem „Sprawdź, zanim udostępnisz” rozpoczęła się kolejna kampania przeciwdziałania dezinformacji w internecie przygotowana i koordynowana przez NASK. Prowadzona jest przy współpracy z Ministerstwem Cyfryzacji oraz brytyjską rządową jednostką Government Communications Service International (GCSI), która zajmuje się komunikacją społeczną.

Akcja uświadamia zagrożenia związane z machinacjami informacyjnymi, pokazuje metody oraz konsekwencje fałszywych przekazów, przybliża sposoby ich neutralizacji, opisuje przypadki dezinformacji w Polsce.

Kampania jest prowadzona w mediach społecznościowych i ma na celu przede wszystkim upowszechnienie prostej metody, która może ograniczyć liczbę krążących w nich fake newsów będących często bronią w atakach dezinformacyjnych. Jest pomocna w rozpoznawaniu fałszu i mistyfikacji.

Metoda składająca się z siedmiu kroków nawiązuje do hasła przewodniego kampanii i nosi nazwę SPRAWDŹ. Każda litera tej nazwy oznacza czynność, którą należy wykonać, by zweryfikować prawdziwość treści, z którą mamy do czynienia. Szczegóły dotyczące tej techniki znajdują się na specjalnie przygotowanej stronie internetowej sprawdzam.info

Przed udostępnieniem wątpliwego lub kontrowersyjnego materiału warto więc sprawdzić, w jakim stopniu angażuje on emocje, czy nie ma na celu dzielić i podżegać, czy spełnia warunki logiki i czy nie został poddany dekontekstualizacji. Istotne są także pochodzenie informacji oraz jej autorstwo.

– Podejmujemy intensywne działania, by przeciwdziałać dezinformacji, bo widzimy, że szybki rozwój platform społecznościowych wzmacnia to zjawisko. Równie ważna jak monitoring i analiza tego, co dzieje się w przestrzeni informacyjnej jest edukacja i budowanie odporności na szkodliwe treści. Projekt „Sprawdź, zanim udostępnisz” to już czwarta w ciągu ostatniego roku kampania edukacyjna przeciw dezinformacji inspirowana lub koordynowana przez NASK. Pierwsza – prowadzona wspólnie z Google – korzystała z metody prebunkingu i miała na celu przeciwdziałanie manipulacji na temat ukraińskich uchodźców w Polsce. Projekt „Bezpieczne Wybory” miał z kolei za zadanie chronić przed dezinformacją w trakcie ostatnich wyborów, a trwająca inicjatywa „Polska na Tle” rozwija i popularyzuje praktykę korzystania z wiarygodnych źródeł informacji – mówi Aleksandra Osman, Kierowniczka Działu Przeciwdziałania Dezinformacji.

Kampania będzie miała kolejne odsłony. Przed i po niej zostaną przeprowadzone badania świadomości społecznej na temat dezinformacji.

Źródło: https://www.nask.pl/pl/aktualnosci/5301,Sprawdz-zanim-udostepnisz.html

Ministerstwo Cyfryzacji ostrzega przed vishingiem

Phishing niejedno ma imię. Jego odmianą jest vishing, czyli podszywanie się pod różne instytucje lub osoby w rozmowach telefonicznych. Na czym dokładnie polega cyberatak typu vishing? Jak może wyglądać? Jak się przed nim chronić? Wskazówki w tej kwestii przedstawia Ministerstwo Cyfryzacji.

Vishing (voice phishing) to odmiana phishingu wykorzystująca połączenia telefoniczne. Oszuści podszywają się m.in. od przedstawicieli banku, innych firm, ale także pod funkcjonariuszy policji czy nawet członków rodziny i znajomych. Dzięki temu w trakcie rozmów telefonicznych są w stanie wyłudzić dane osobowe, ale też takie informacje, jak loginy, hasła czy dane kart kredytowych.

Vishing – przykład z życia wzięty

Jak wskazuje Ministerstwo Cyfryzacji, dosyć częstym przejawem vishingu jest oszustwo na pomoc techniczną. Cyberprzestępca podaje się za pracownika banku i informuje klienta o rzekomej nietypowej aktywności na jego koncie. Sugeruje ryzyko utraty środków finansowych, przez co wywołuje uczucie niepokoju u ofiary. To zaś skłania ją do podjęcia natychmiastowych działań i bezrefleksyjnego podążania za instrukcjami rozmówcy.

Kolejnym krokiem cyberprzestępcy jest poinformowanie ofiary, że w celu ochrony jej środków nastąpi blokada konta, a dostęp do pieniędzy zostanie odblokowany po kolejnej rozmowie. Następnie do ofiary telefonuje rzekoma pomoc techniczna, która nakłania ją do pobrania i instalacji programu (w efekcie przestępca rzeczywiście uzyskuje dostęp do konta bankowego). Ewentualnie można spodziewać się nakłaniania do podania:

loginu i hasła,

kodów dostępu poprzez wpisanie poświadczeń na stronie, którą podał oszust.

Ofiara może być także nakłaniana do wykonania przelewu na udostępnione tymczasowe konto.

Uwaga

Atak vishingowy może być więc wieloetapowy i złożony, a przez to trudny do wykrycia.

Jak chronić się przed vishingiem

W komunikacie ministerstwa przedstawiono pewne wskazówki, które ułatwiają ochronę przed vishingiem. Warto przekazać je pracownikom i współpracownikom swojej organizacji.

1. Nigdy nie podawaj przez telefon (i nie tylko) wrażliwych danych, loginów, haseł lub kodów autoryzacyjnych.

2. Jeśli rozmówca prosi o podanie:

- danych osobistych,

- haseł dostępu,

- kodów autoryzacyjnych,

- numerów kart płatniczych,

natychmiast rozłącz się i zgłoś sprawę do instytucji, której jest on rzekomym przedstawicielem. Ewentualnie odwiedź oddział tej instytucji.

3. Nawet jeżeli rozmówca straszy cię ryzykiem kradzieży pieniędzy z konta bankowego, nie podejmuj żadnych pochopnych decyzji i nie działaj pod wpływem emocji.

4. Skontaktuj się z zaufaną osobą (np. członkiem rodziny) i powiedz jej o niepokojącym telefonie.

5. Zwróć szczególną uwagę na takie symptomy jak:

- nieścisłości i niejasności w komunikatach,

- podejrzane pytania,

- błędy językowe.

6. Nie pobieraj ani nie instaluj aplikacji lub oprogramowania za namową rozmówcy.

7. Nie wypłacaj pieniędzy ani nie zlecaj przelewów mimo nalegania rozmówcy.

Źródło:

https://odo.wip.pl/numer-126-listopad-2023-r./ministerstwo-cyfryzacji-ostrzega-przed-vishingiem-3122.html

NASK ostrzega przed kampanią, w której wykorzystywany jest motyw rekrutacji do znanych firm

NASK (Naukowa i Akademicka Sieć Komputerowa) podała, że zespół CERT Polska (Computer Emergency Response Team) obserwuje kampanię, w której wykorzystywany jest motyw rekrutacji do znanych firm.

Jak wyjaśnia NASK z potencjalną ofiarą kontaktuje się fałszywy „przedstawiciel HR” lub „menadżer ds. rekrutacji”, podając się za pracownika takich firm jak: Allegro, Asseco lub BrainHub.

Przedstawiona oferta zatrudnienia wydaje się naprawdę atrakcyjna. Oszuści zachęcają do kontaktu poprzez komunikator WhatsApp – podała NASK.

Następnie oszuści kierują rozmówcę na fałszywe strony internetowe, które szatą graficzną przypominają portale firm, rzekomo oferujących możliwość zatrudnienia.

W rzeczywistości jednak przestępcy wyłudzają tym sposobem dane oraz pieniądze.

Źródło: PAP, ASO

Przetwarzanie danych osobowych w procesie kandydowania i wyboru ławników

Ławnik pełniący rolę sędziego społecznego ma za zadanie służyć swoim doświadczeniem życiowym i zawodowym tak, aby jednocześnie podnosić jakość sądownictwa oraz sprawować jego społeczną kontrolę. Ławnicy wybierani są spośród obywateli polskich po spełnieniu szeregu wymagań. W tym celu odbywa się proces naboru, który związany jest ściśle z przetwarzaniem danych osobowych.

Ławnikiem może być osoba, która:

posiada obywatelstwo polskie i korzysta z pełni praw cywilnych i obywatelskich;

jest nieskazitelnego charakteru;

ukończyła 30 lat;

jest zatrudniona, prowadzi działalność gospodarczą lub mieszka w miejscu kandydowania co najmniej od roku;

nie przekroczyła 70 lat;

jest zdolna, ze względu na stan zdrowia, do pełnienia obowiązków ławnika;

posiada co najmniej wykształcenie średnie lub średnie branżowe.

Powyższe wymagania wskazują na szeroki zakres danych osobowych, jaki jest przetwarzany w procesie kandydowania i ubiegania się o funkcję ławnika. Wśród zwykłych danych osobowych, jakie należy podać, znajdują się: obywatelstwo, wiek, działalność zawodowa, wykształcenie.

Wśród danych szczególnej kategorii wymagane jest podanie informacji o stanie zdrowia. Dodatkowo, w celu wykazania nieskazitelnego charakteru konieczne będzie wskazanie informacji o wyrokach skazujących i czynach zabronionych.

Przesłanki negatywne

Ustawodawca określił także szereg przesłanek o charakterze negatywnym, których wystąpienie wyklucza możliwość ubiegania się o stanowisko ławnika.

Uwaga

Ławnikami nie mogą być następujące osoby:

zatrudnione w sądach powszechnych i innych sądach oraz w prokuraturze;

wchodzące w skład organów, od których orzeczenia można żądać skierowania sprawy na drogę postępowania sądowego;

funkcjonariusze policji oraz inne osoby zajmujące stanowiska związane ze ściganiem przestępstw i wykroczeń;

adwokaci i aplikanci adwokaccy;

radcy prawni i aplikanci radcowscy;

duchowni;

żołnierze w czynnej służbie wojskowej;

funkcjonariusze Służby Więziennej;

radni gminy, powiatu i województwa.

Kto przetwarza dane kandydatów

Wybory ławników są przygotowywane przez gminy. W głosowaniu tajnym rady gmin wybierają ławników do sądów okręgowych oraz do sądów rejonowych, których obszar jest objęty właściwością tych sądów. Wybór dokonywany jest po złożeniu przez osoby aplikujące odpowiedniej karty zgłoszeniowej oraz niezbędnych dokumentów. Wzór karty zgłoszenia został odgórnie ustalony w drodze rozporządzenia z 9 czerwca 2011 r. sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzory kart zgłoszenia. Przyjęta karta zgłoszenia zawiera szereg pytań o dane osobowe.

Podstawa przetwarzania danych

Przesłanki niezbędne do ubiegania się o wybór na ławnika to obszerny zakres danych osobowych i informacji, wszystkich kategorii wskazanych w przepisach ogólnego rozporządzenia RODO. Podstawa prawna do ich przetwarzania wynika wprost z przepisów prawa. Nie należy wymagać od kandydatów na ławników złożenia oświadczenia o zgodzie na przetwarzanie danych osobowych.

Uwaga

Gminy zajmujące się przeprowadzaniem wyborów nie mogą zapomnieć o konieczności wypełnienia obowiązku informacyjnego (art. 13 RODO).

Klauzula informacyjna dotycząca przetwarzania danych osobowych z związku ze zgłoszeniem kandydatury na ławnika, zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/W – ogólne rozporządzenie o ochronie danych (RODO)

1. Administratorem Pani/Pana danych osobowych jest Gmina (zwana dalej: „Administratorem”) reprezentowana przez Wójta oraz Rada Gminy. Kontakt do Administratora: …………………

2. Kontakt do Inspektora Ochrony Danych: ………………..

3. Podstawa prawna przetwarzania danych toart. 6 ust. 1 lit. c RODO – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; art. 6 ust. 1 lit. e, art. 9 ust. 2 lit. g RODO – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi wynikającego z realizacji przepisów ustawy z 27 lipca 2001 r. Prawo o ustroju sądów powszechnych i rozporządzenia ministra sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia.

4. Pani/Pana dane osobowe będą przetwarzane wyłącznie w celu przeprowadzenia procedury naboru ławników sądów powszechnych.

5. Podanie danych osobowych jest dobrowolne, ale niezbędne do dokonania wyboru. Niepodanie danych skutkować będzie brakiem możliwości rozpatrzenia Państwa kandydatury oraz wydaniem uchwały o pozostawieniu zgłoszenia bez dalszego biegu w związku z niespełnieniem wymogów formalnych wynikających z przepisów prawa.

6. Państwa dane będą przechowywane nie dłużej, niż jest to niezbędne i określone w przepisach prawa, dokumentacja osób wybranych na funkcję ławnika zostaje przekazana do prezesa właściwego sądu powszechnego. Zgłoszenia osób niewybranych na funkcję ławnika mogą zostać odebrane w ciągu 60 dni od daty wyboru, po tym czasie w ciągu 30 dni są niszczone komisyjnie. Pozostała dokumentacja będzie przechowywana przez okres kadencji ławników, a następnie okres wymagany przez przepisy powszechnie obowiązującego prawa, w szczególności ze względu na cele archiwalne.

7. Administrator przekazuje dane następującym odbiorcom:

a) organom władzy publicznej oraz podmiotom wykonującym zadania publiczne lub działającym na zlecenie organów władzy publicznej, w zakresie i w celach, które wynikają z przepisów powszechnie obowiązującego prawa, w szczególności:

– Radzie Gminy ………………,

– Komendantowi Wojewódzkiej Policji w ………… – od którego Rada Gminy …………. uzyskuje informacje o kandydatach na ławników,

– Prezesowi właściwego sądu powszechnego – w celu dokonania czynności administracyjnych związanych z organizacją pracy tych sądów (dotyczy osób wybranych na funkcję ławnika),

b) innym podmiotom, które na podstawie przepisów prawa lub stosownych umów podpisanych z Gminą ……….. przetwarzają dane osobowe, dla których Administratorem jest Gmina ……………., w szczególności: – Zespół

opiniujący kandydatury na ławników sądów powszechnych – w celu wydania opinii o kandydatach w zakresie spełniania wymogów określonych w ustawie Prawo o ustroju sądów powszechnych.

8. W związku z przetwarzaniem Państwa danych osobowych przysługują Państwu następujące uprawnienia:

a) dostępu do danych osobowych;

b) sprostowania danych osobowych;

c) usunięcia danych osobowych – w sytuacji gdy przetwarzanie danych nie następuje w celu wywiązania się z prawnego obowiązku wymagającego przetwarzania danych lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;

d) ograniczenia przetwarzania danych osobowych;

e) wniesienia sprzeciwu wobec przetwarzania danych.

9. W przypadku niezgodnego z prawem przetwarzania Państwa danych osobowych przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w Warszawie.

10 W oparciu o Państwa dane osobowe Administrator nie będzie podejmował zautomatyzowanych decyzji, w tym decyzji będących wynikiem profilowania, dane nie będą przekazywane do państw państwa trzeciego.

Źródło: https://odo.wip.pl/numer-121lipiec-2023-r./przetwarzanie-danych-osobowych-w-procesie-kandydowania-i-wyboru-lawnikow-3043.html

Chroń swoje dane osobowe w internecie!

Wirtualna rzeczywistość to od wielu lat nasz drugi dom. Na przeglądaniu mediów społecznościowych i śledzeniu bieżących informacji z kraju i zagranicy spędzamy nawet kilka godzin dziennie. Zanurzeni w cyfrowy świat nierzadko zapominamy, jak groźny może on być i masowo udostępniamy rzeczy, które lepiej byłoby zachować dla siebie.

W internecie umieszczamy wszystko: adresy e-mailowe, numery telefonów, dzielimy się zdjęciami z wakacji, pokazujemy, co lubimy jeść i czym się interesujemy. Niby nie ma w tym nic złego – to jednak tylko pozory. Ślad, który po sobie zostawiamy, jest pożywką dla hakerów i brokerów informacji.

Słowo „haker” przeważnie budzi niepokój, natomiast „broker informacji”, nazywany również researcherem, brzmi neutralnie. Jednak obaj mogą wyrządzić sporo szkód.

Broker informacji zajmuje się wyszukiwaniem, analizowaniem i udostępnianiem informacji na zlecenie. Pełni rolę pośrednika między podmiotami poszukującymi wiadomości a zasobami i tworzy wirtualny profil klienta. Researcherzy dysponują nawet setkami informacji na temat jednej osoby. Wiedzą, jakiego wyznania jesteśmy, co lubimy kupować, jakie są nasze poglądy polityczne, a nawet – uwaga! – co sądzimy na temat globalnego ocieplenia.

Wiadomości zebrane przez researchera są potężnym narzędziem, wykorzystywanym m.in. do manipulacji, czyli nakłaniania do podjęcia decyzji, na której niekoniecznie zyskamy. Co gorsza, nigdy do końca nie wiadomo, w czyje ręce trafią dane zebrane przez brokera informacji. Mogą to być naciągacze, firmy ubezpieczeniowe, banki. Jeśli ktoś wie o Tobie niemal wszystko, o wiele łatwiej jest mu ciebie zaatakować i ukraść twoją tożsamość.

NASK ostrzega przed oszustami

NASK ostrzega przed oszustami wyłudzającymi dane do logowania do portalu Facebook. Celem ataku jest przejęcie konta w serwisie społecznościowym, które może zostać następnie wykorzystane np. do wyłudzenia pieniędzy od znajomych ofiary.

Naukowa i Akademicka Sieć Komputerowa poinformowała 2 sierpnia 2023 r., że zespół CERT Polska (Computer Emergency Response Team) obserwuje działania przestępców, których celem jest wyłudzenie loginów i haseł do portalu Facebook.

Jak poinformował NASK, scenariusz działania oszustów zaczyna się od umieszczenia na Facebooku ogłoszenia sprzedaży przedmiotu. Jeżeli użytkownik portalu wyrazi zainteresowanie zakupem oszuści kontaktują się z nim poprzez wiadomość prywatną.

„Przesyłają potencjalnej ofierze link do strony, na której rzekomo znajduje się więcej informacji o sprzedawanym produkcie. W rzeczywistości jest to fałszywy panel logowania do serwisu Facebook, służący do wyłudzenia danych odstępowanych ofiary” – poinformowała NASK.

Celem ataku jest przejęcie konta w serwisie społecznościowym, które może zostać następnie wykorzystane do innych szkodliwych działań, na przykład próby wyłudzenia pieniędzy od znajomych ofiary lub nakłonienia ich do instalacji szkodliwego oprogramowania.

Źródło: PAP, ANK

Czy możliwe jest umieszczenie listy kandydatów przyjętych i nieprzyjętych na stronie internetowej szkoły?

Odpowiadając na pytanie postawione w tytule, okazuje się, że nie ma podstaw prawnych do umieszczania listy kandydatów przyjętych i nieprzyjętych na stronie internetowej szkoły. Umieszczenie danych na stronie internetowej szkoły byłoby dopuszczalne wówczas, gdyby służyło realizacji obowiązku wynikającego z przepisów prawa, a zgodnie z art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem

Natomiast z art. 158 ust. 3 ustawy Prawo oświatowe wynika, że komisja rekrutacyjna podaje do publicznej wiadomości listę kandydatów przyjętych i nieprzyjętych do szkoły, a zgodnie z ust. 4 cytowanej ustawy podaje się do publicznej wiadomości poprzez umieszczenie listy w widocznym miejscu w siedzibie publicznej szkoły. Lista zawiera imiona i nazwiska kandydatów przyjętych i kandydatów nieprzyjętych lub informację o liczbie wolnych miejsc.

Podstawa prawna:

Zatem, przywołane regulacje stanowią wyraźną podstawę prawną do umieszczenia listy z imionami i nazwiskami kandydatów, ale wyłącznie poprzez umieszczenie w widocznym miejscu w siedzibie publicznej szkoły.

PESEL cenniejszy od nazwiska

Większość Polaków pytana, co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL, a dopiero potem imię i nazwisko czy adres zamieszkania. Niewielu zalicza do tej kategorii własny wizerunek czy numer rejestracyjny samochodu. Niestety nieznacznie zmalał w porównaniu z ubiegłym rokiem odsetek respondentów, którzy wiedzą jak zadbać o bezpieczeństwo własnych danych osobowych, a największe zagrożenie dla nich upatrują w fałszywych telefonach, e-mailach i SMS-ach. To najważniejsze wnioski płynące ze wspólnego badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych.

W sondażu przeprowadzonym na początku maja br. na reprezentatywnej próbie Polaków w odpowiedzi na pytanie, co wchodzi w skład danych osobowych aż 91,9 proc. ankietowanych wskazała PESEL, a 89,5 proc. imię i nazwisko. Wysoki odsetek wskazań otrzymał jeszcze adres zamieszkania (84,1 proc.) oraz numer dowodu tożsamości (78,4 proc.). Znacznie mniej respondentów zaliczało do danych osobowych własny wizerunek (45,1 proc.), odciski palców (39,8 proc.) czy numer rejestracyjny samochodu (16,3 proc.).

Więcej: https://uodo.gov.pl/pl/138/2728

Komputronik: wyciekły numery telefonów, uważajcie na złośliwe SMS-y

Znany w Polsce sklep z elektroniką - Komputronik właśnie wysłał do swoich klientów informację, że w wyniku wycieku po stronie operatora bramki SMS, ktoś wykradł numery telefonów osób, które robiły w sklepie zakupy w ostatnich miesiącach.

Komputronik informuje o wycieku

Klienci sklepu Komputronik dostali właśnie informację, że w wyniku "przełamania zabezpieczeń u dostawcy usługi SMS", przestępcy uzyskali dostęp do numerów telefonów osób, które dokonywały zakupów w ostatnim czasie. Dobra wiadomość jest taka, że wyciekły tylko same numery telefonów, bez innych danych osobowych, jak chociażby imię czy nazwisko. Nie mniej jednak jest bardzo prawdopodobne, że taka baza numerów może zostać wykorzystana do wyłudzeń w przyszłości, dlatego najlepiej mieć się na baczności. Pełny komunikat przesłany przez Komputronika brzmi następująco:

Informujemy, iż odnotowaliśmy incydent spowodowany przełamaniem zabezpieczeń u dostawcy usługi SMS. Moze to spowodować możliwość pozyskania przez podmiot nieuprawniony danych osobowych wyłącznie w zakresie numeru telefonu. Zdarzenie może nieść za sobą konsekwencje w postaci otrzymywania niechcianej komunikacji. Prosimy o zachowanie szczególnej ostrożności w przypadku otrzymywanych telefonów, zwłaszcza proszę nie aktywować zamieszczonych w takich komunikatach linków. Jednoczesne informujemy, iż żadne dane bezpośrednio z systemów Komputronik nie zostały udostępnione. Poziomy zabezpieczeń usługi SMS a także uwierzytelnienia zostały przez operatora zwiększone i powiadomiono odpowiednie urzędy. W razie pytań lub wątpliwości prosimy o kontakt z Krzysztofem Jankowskim, Inspektorem Ochrony Danych pod adresem: IODO@komputronik.pl

O wycieku danych osobowych w postaci numerów telefonów zostały poinformowane odpowiednie urzędy, a jak możemy przeczytać powyżej, operator bramki SMS poprawił swoje zabezpieczenia i do podobnych incydentów w przyszłości nie powinno już dochodzić. Postaramy się jeszcze ustalić jakiego zakresu czasowego dotyczył wyciek i kto powinien mieć się na baczności. Biorąc jednak zakrojoną na szeroką skale akcję informacyjną Komputronika, każdy klient powinien dostać taką informację, jeśli jego dane faktycznie zostały przechwycone.

Źródło: https://antyweb.pl/komputronik-wyciek-nr-telefonow

Ataki spear phishing

Spear phishing jest oszustwem o charakterze socjotechnicznym, wykorzystującym presję autorytetu i czasu, aby skłonić atakowanego do podjęcia niekorzystnego działania. Fakt, że zazwyczaj informacje potrzebne do przeprowadzenia ataku są publicznie dostępne lub łatwe do uzyskania, czyni to oszustwo popularnym wśród cyberprzestępców.

Schemat działania

Najczęstszym wektorem ataku są wiadomości e-mail. Ich treść sugeruje, że zaistniała konieczność natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu, które w rzeczywistości są numerem konta oszusta. Sprawa może dotyczyć zarówno konta osobistego, jak i konta instytucji, w której pracujemy. Tego typu wiadomości mogą mieć charakter zarówno bardzo ogólnikowy, w postaci niepodpisanego e-maila, jak i być doskonale przygotowaną wiadomością, ze stopką instytucji i podpisem pracownika, najczęściej wysokiego szczebla. Niestety taki rodzaj ataku jest łatwy w przygotowaniu, ponieważ prawie wszystkie potrzebne dane są ogólnodostępne.

Kolejnym wektorem ataku są wiadomość na komunikatorze WhatsApp, gdzie na wstępie atakujący pisząc z obcego numeru, przedstawia się jako rzekomy pracownik i, tłumacząc zmianę numeru awarią czy zgubieniem telefonu, nakłania do podjęcia określonych działań, które mają na celu wyłudzenie pieniędzy.

Skutki oszustwa

Przestępcy w trakcie komunikacji mają zwykle jeden cel - przekonanie nieświadomego pracownika do przelewu pieniędzy na konto oszustów. Warto zauważyć, że jest to zazwyczaj konto zagranicznego banku, co ma utrudnić odzyskanie pieniędzy.

Ważne informacje

E-maile przy tego typu oszustwach mogą przychodzić zarówno z przypadkowych adresów i domen, jak i takich, które są właściwe dla danego podmiotu. W drugim przypadku przestępcy wykorzystują spoofing, czyli podszycie się pod danego adresata, co jest możliwe dzięki słabościom systemów mailowych, w szczególności z powodu błędów konfiguracyjnych dwóch mechanizmów - SPF i DMARC.

Jak się chronić?

Nie ulegać presji czasu i autorytetu – to właśnie dzięki wpłynięciu na emocje oszuści chcą skłonić ofiarę do szybkiego, nieprzemyślanego działania.
Wprowadzić filtry antyspamowe – chociaż w wielu przypadkach pełne odfiltrowanie takich szkodliwych wiadomości nie będzie możliwe, to oznaczanie wiadomości przychodzących z nieznanych źródeł może wzmóc czujność.
Weryfikować – zweryfikowanie żądania zmiany numeru konta czy wykonania przelewu innymi kanałami niż otrzymana wiadomość pozwoli wykryć próbę oszustwa.

Co zrobić w przypadku, gdy pieniądze zostały przelane oszustom?

W takim przypadku należy:

jak najszybciej skontaktować się z działem bezpieczeństwa w swojej organizacji
zgłosić sprawę do banku, który świadczy usługi firmie albo instytucji
zgłosić sprawę na najbliższym komisariacie Policji

DEEPFAKE. CZY WIESZ, JAK NIE DAĆ SIĘ OSZUKAĆ, OGLĄDAJĄC ZDJĘCIA LUB FILMY WIDEO?

Rozwiązania takie jak sztuczna inteligencja, uczenie maszynowe, czy Internet rzeczy rozwijają się w szybkim tempie i mają bardzo duży wpływ na naszą codzienność. Mogą one również nieść ze sobą pewne zagrożenia dla ochrony danych i prywatności, z którymi będziemy musieli coraz częściej mierzyć się w przyszłości, zarówno w pracy, jak i w życiu osobistym. Jednym ze zjawisk, które wymaga szczególnej uwagi jest technologia deepfake.

Coraz częściej z możliwości sztucznej inteligencji korzystają również cyberprzestępcy w celu zwiększenia skuteczności kampanii socjotechnicznych, manipulowania informacjami, szerzenia dezinformacji, czy szantażowania. Niestety, w świecie zdominowanym przez Internet i media społecznościowe musimy nieustannie radzić sobie z natłokiem informacji. Coraz trudniej jest nam je filtrować, poddając źródła analizie i weryfikacji w celu odróżnienia wartościowych i rzetelnych treści od fake newsów, które celowo wprowadzają odbiorcę w błąd. Jednym z najnowszych osiągnięć przyczyniających się do tego problemu jest deepfake, czyli zmanipulowany obraz lub nagranie video, powstające przy wykorzystaniu sztucznej inteligencji (SI).

Technologia deepfake, czyli co?

Pojęcie deepfake to połączenie dwóch słów: deep – skrót od głębokiego uczenia (ang. deep learning), oraz fake, czyli fałszywy. Inną formą oszustwa jest technologia deepfake audio, która korzystając z próbki głosu może go sklonować, odwzorowując tonację, akcent, czy inne unikalne cechy. Może ona stanowić jeszcze większe zagrożenie, ponieważ ludzie często komunikują się werbalnie, np. telefonicznie, czy za pomocą nagrań głosowych, co znacznie rozszerza możliwości wykorzystania przez cyberprzestępców technologii deepfake.

Rozwój zaawansowanych głębokich sieci neuronowych i dostępność dużej ilości danych (np. w postaci obrazu i wideo udostępnionych w Internecie) sprawiły, że sfałszowane obrazy i filmy są prawie nie do odróżnienia, co stwarza nie tylko zagrożenia społeczne, czy prawne, ale przede wszystkim cybernetyczne, takie jak wymuszenia, oszustwa, czy kradzież tożsamości, która może przybierać różne formy, np. użycie głosu ofiary.

Warto zapamiętać!

Cyberprzestępca podszywając się pod kogoś znanego lub zaufanego może uzyskać dostęp do poufnych informacji, takich jak dane osobowe (często również wrażliwe), hasła, czy numery kart kredytowych. Istnieją jednak sposoby, które mogą pomóc w ustaleniu, czy nagranie jest prawdziwe. Warto zwrócić uwagę na mimikę twarzy, ruch gałek ocznych, brak emocji podczas wypowiedzi, czy nienaturalny ruch ciała. Istnieją również narzędzia, które w sposób automatyczny potrafią wykryć nieprawidłowości.

Źródło: https://uodo.gov.pl/pl

Kampanie phishingowe na serwisy pocztowe

Jednym z najczęstszych zagrożeń dla internautów, obserwowanych przez zespół CERT Polska (to pierwszy powstały w Polsce zespół reagowania na incydenty) pozostaje phishing. Pozornie nieszkodliwe maile, często wzywające do pilnego działania, mogą prowadzić do fałszywych witryn wyłudzających dane.

Głównym celem sprawców tego oszustwa jest wyłudzenie poufnych informacji (najczęściej danych dostępowych do konkretnej usługi) poprzez podszycie się pod dany podmiot lub osobę. W tym celu przestępcy rozsyłają do potencjalnych ofiar wiadomości mailowe zawierające link do kontrolowanej przez siebie witryny. Należy przy tym podkreślić, że nie ma jednego schematu szkodliwych wiadomości stosowanego przez oszustów - różnice wynikają z wytypowanej grupy będącej celem ataku oraz możliwości technicznych sprawców. Często powtarzający się element to wywieranie presji czasu na odbiorcy poprzez wzywanie go do podjęcia natychmiastowych działań i zwracanie uwagi na nieodwołane, uciążliwe konsekwencje ich zaniechania. Gdy ofiara otworzy link i zaloguje się na podstawionej przez oszustów stronie, wówczas jej dane uwierzytelniające trafią w ręce przestępców, którzy uzyskają w ten sposób dostęp do jej konta. Kolejnym krokiem jest na ogół zmiana hasła dostępowego, co skutkuje odcięciem prawowitego właściciela od konta.

Najczęstszym i najmniej wyrafinowanym schematem, który jest często odnotowywany przez zespół CERT, jest po prostu masowa wysyłka wiadomości phishingowych pod przypadkowe adresy mailowe. Nadawcy bardzo często podszywają się w takich wiadomościach pod administratorów poczty elektronicznej (w nazwie nadawcy) i informują np. o blokadzie konta z tytułu wykrytego naruszenia. Maile tego typu są często napisane bardzo słabą polszczyzną i usiłują imitować oficjalne, automatycznie wygenerowane powiadomienie.

Źródło: https://cert.pl/posts/2023/04/phishing-webmail/

Bądźmy bezpieczni w sieci

Z okazji przypadającego 7 lutego Dnia Bezpiecznego Internetu Urząd Ochrony Danych Osobowych zachęca do bezpiecznego korzystania z zasobów internetowych i przypomina kilka najważniejszych kwestii związanych z ochroną danych osobowych podczas korzystania z nowych technologii.

Internauto, zapamiętaj…

Zadbaj o zróżnicowane i silne hasła logowania
Hasło powinno być trudne do odgadnięcia i zawierać duże/małe litery, cyfry oraz znaki specjalne – hasła z większą liczbą znaków są mniej podatne na złamanie w krótkim czasie. Nie zaleca się zapamiętywania haseł w pamięci przeglądarki lub w aplikacji na urządzeniu. Nie należy także używać tej samej nazwy użytkownika w połączeniu z identycznym hasłem we wszystkich aplikacjach, z których korzystasz;
Dopasuj ustawienia prywatności konta w mediach społecznościowych
Ustaw je tak, aby dostęp do prywatnych informacji, danych osobowych, zdjęć, komentarzy na Twoim profilu w mediach społecznościowych miały jedynie zaufane osoby, będące w gronie Twoich znajomych. Rozważ także, czy Twój profil powinien być widoczny dla zewnętrznych wyszukiwarek;
Uważaj, jakimi informacjami, ale też zdjęciami lub filmami, dzielisz się z innymi
Opublikowane przez Ciebie dane mogą zostać wykorzystane wbrew Twoim intencjom. Przykładowo, Twoje zdjęcia i zdjęcia najbliższych, mogą być wystawione na ocenę innych osób, a ewentualna ich reakcja i komentarze mogą okazać się raniące, dokuczliwe, a nawet wulgarne. Pamiętaj, że osoba której zdjęcia zamieszczasz powinna być co najmniej poinformowana o tym fakcie. Uszanuj brak zgody innych osób na rozpowszechnianie informacji o nich. Raz opublikowana informacja, treść bądź fotografia może pozostać w cyberprzestrzeni już na zawsze, a konsekwencje złych wyborów ciągnąć się latami;
Nie ujawniaj zbyt wielu informacji o sobie
Media społecznościowe nie są odpowiednimi miejscami do dzielenia się danymi/informacjami takimi, jak adres zamieszkania, numer telefonu czy miejsce pracy rodziców. Uważaj na zamieszczenie zdjęć lub nagrań pozwalających osobie nieznajomej zlokalizować miejsce Twojego pobytu. Ponadto nie zamieszczaj zdjęć np. legitymacji szkolnej, dowodu tożsamości, karty płatniczej, druków zawierających dane osobowe, kart pokładowych czy prawa jazdy. Należy mieć świadomość, że dane osobowe lub dane kontaktowe mogą pozyskać przestępcy, którzy zechcą wykorzystać je przeciwko Tobie lub Twoim najbliższym;
Uważaj na zaproszenia od nieznanych użytkowników
Bądź ostrożny i nie akceptuj automatycznie zaproszeń do grona znajomych lub obserwowania od obcych osób. Osoba podająca się za Twojego rówieśnika, może okazać się w rzeczywistości zupełnie kimś innym, dlatego należy być ostrożnym przy zawieraniu nowych znajomości w sieci. Pamiętaj też, że ktoś obcy może się podszyć także za Twojego bliskiego, przejmując wcześniej jego tożsamość w sieci;
Uważaj na tzw. phishing
Jest to jedno z najbardziej niebezpiecznych działań zmierzających do kradzieży loginów i haseł, które dotyczy również portali społecznościowych. Hakerzy rozsyłają odsyłacze do fałszywych serwisów społecznościowych, do złudzenia przypominających te, z których korzystasz na co dzień. Po kliknięciu w taki link i wprowadzeniu danych do logowania cyberprzestępcy mogą uzyskać dostęp do Twoich danych;
Uważaj na szkodliwe oprogramowanie, które może być przesyłane za pomocą komunikatorów
Zachowaj czujność, zanim otworzysz otrzymany link, upewniając się, że pochodzi z zaufanego źródła. Hakerzy, wykorzystując nieuwagę użytkownika, rozsyłają linki do zainfekowanych stron lub dodają złośliwe rozszerzenia do przeglądarek, dzięki czemu mogą przejąć kontrolę nad kontem użytkownika;
Uważaj na publiczne lub niezabezpieczone połączenia internetowe
Nie loguj się do serwisów społecznościowych podczas korzystania z otwartych sieci, ponieważ może to grozić udostępnieniem Twoich danych cyberprzestępcom.

Źródło: https://uodo.gov.pl/pl/138/2634

Ostrzeżenie przed e-mailami podszywającymi się pod Ministerstwo Finansów i Krajową Administrację Skarbową

Pocztą elektroniczną rozsyłane są fałszywe wiadomości w języku angielskim, których autor podszywa się pod Ministerstwo Finansów (MF) lub Krajową Administrację Skarbową (KAS).
MF i KAS nie wysyłają tego typu wiadomości e-maili na adresy podatników.

Do Ministerstwa Finansów docierają sygnały o podejrzanych wiadomościach e-mail napisanych w języku angielskim, w których nadawca podszywa się pod Ministerstwo Finansów lub Szefa Krajowej Administracji Skarbowej. Tego typu wiadomości są fałszywe i nie zostały wysłane z serwerów MF lub KAS.

Otwieranie linków lub załączników zamieszczonych w takich wiadomościach, jak również wysyłanie odpowiedzi do nadawcy, jest niebezpieczne, ponieważ może spowodować zainfekowanie komputera szkodliwym oprogramowaniem i przekazanie naszych danych nieuprawnionym osobom.

Apelujemy o nieotwieranie linków i załączników z e-maili od nieznanych nadawców, a także nieodpowiadanie na takie wiadomości.

Więcej...

XVII Dzień Ochrony Danych Osobowych

Dzień Ochrony Danych Osobowych (28 stycznia) został ustanowiony dla upamiętnienia rocznicy otwarcia do podpisu najstarszego aktu prawnego o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną danych osobowych. Aktem tym jest Konwencja 108 Rady Europy z 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Polska włączyła się w organizację Dnia Ochrony Danych Osobowych w roku 2007 r.

Nie można przetwarzać danych osobowych, nie mając podstawy prawnej

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości ponad 45 tys. zł za naruszenie przepisów ogólnego rozporządzenia o ochronie danych przez wspólników spółki cywilnej Kancelaria PIONIER. Organ nadzorczy jednocześnie nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez zaprzestanie przetwarzania danych osobowych potencjalnych klientów bez podstawy prawnej.

Do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła informacja wskazująca na możliwość naruszenia przez administratorów przepisów o ochronie danych osobowych. Urząd w pierwszej kolejności podjął wobec administratorów czynności sprawdzające, jednak z uwagi na brak dostatecznej współpracy z organem nadzorczym przy wyjaśnianiu okoliczności sprawy, UODO uznał, że konieczne jest przeprowadzenie kontroli. Zakresem kontroli objęto przetwarzanie przez administratorów danych osobowych klientów i potencjalnych klientów wspólników spółki.

Na podstawie zgromadzonego w sprawie materiału dowodowego w ocenie UODO wspólnicy spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych ich potencjalnych klientów , w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych.

UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień.

Page updated

Google Sites

Report abuse