Twoje konto zostało zablokowane, ponieważ otrzymaliśmy informację od CERT Polska o ujawnieniu w Internecie Twojego adresu e-mail i hasła. Więcej informacji o zdarzeniu, podjętych przez nas czynnościach i rekomendowanych działaniach znajdziesz w komunikacie poniżej.
Aby odblokować konto skorzystaj z opcji Odzyskaj hasło lub skontaktuj się z nami mailem: pomoc@agora.pl
Warszawa, dnia 19 stycznia 2024 r.
Szanowna Pani/Szanowny Panie,
Agora S.A. (Spółka lub Administrator) będąca Administratorem Pani/Pana danych osobowych przetwarzanych w związku z korzystaniem przez Panią/Pana z usług gazeta.pl tj. konta użytkownik (Konto) i poczty elektronicznej w domenie gazeta.pl (Poczta) z przykrością informuje, że Pani/Pana dane osobowe na skutek celowego działania nieznanej osoby trzeciej zostały ujawnione w serwisie www.virustotal.com (Virus Total). Zakres ujawniony danych to adres e-mail oraz hasło.
Informację o incydencie 15 stycznia 2024 r. przekazał Spółce Zespół Reagowania na Incydenty Naruszenia Bezpieczeństwa Informatycznego działający w ramach CERT Polska (CERT Polska). Dane objęte incydentem znajdowały się w pliku zawierającym adresy e-mail w różnych domenach wraz z hasłem przyporządkowanym do każdego adresu. Plik został umieszczony w serwisie 6 stycznia 2024 r. i jego obecność została wykryta podczas rutynowego monitoringu sieci wykonywanego przez CERT Polska. Zgodnie z informacją przekazaną Spółce przez CERT Polska plik był dostępny wyłącznie dla wybranej grupy użytkowników Virus Total, ponieważ uzyskanie dostępu do pliku było uwarunkowane koniecznością wykupienia odpowiedniej (płatnej) licencji.
Spółka niezwłocznie podjęła działania wyjaśniające ten incydent i wykluczyła aby źródłem wycieku były systemy Spółki. Wynika to z faktu, że w ramach stosowanych środków bezpieczeństwa hasło do Konta i Poczty przechowywane jest przez Spółkę w systemie Administratora w formie zahaszowanej (Spółka nie ma możliwości odwrócenia tego procesu) a ujawnione w Virus Total hasła miały postać jawną. Ponadto w wiadomości przekazanej przez CERT Polska, CERT Polska wskazał, że mimo, że nie posiada informacji w jaki sposób te zostały pozyskane, to przynajmniej niektóre rekordy wskazują, że mogło do tego dojść w wyniku infekcji złośliwym oprogramowaniem urządzenia wykorzystywanego przez użytkownika. W ocenie CERT Polska opublikowany plik przynajmniej częściowo jest kompilacją z różnych wycieków.
Administrator mimo braku okoliczności wskazujących na bycie źródłem incydentu i mając na uwadze ochronę prywatności użytkowników objętych tym incydentem zdecydował się na wystosowanie przedmiotowego zawiadomienia oraz zawiadomił o incydencie Prezesa Urzędu Ochrony Danych Osobowych.
Poza weryfikacją szczelności systemów własnych i stosowanych środków bezpieczeństwa sprawdzone zostały pod tym kątem także bazy podmiotu przetwarzającego, dostarczającego usługę poczty tj. Ringier Axel Springer Polska sp. z o.o. Weryfikacja baz podmiotu przetwarzającego również wykluczyła, że to one były źródłem wycieku.
Poza wyżej wskazanymi działaniami Administrator niezwłocznie:
· wystosował dwa komunikaty przypominające o zasadach bezpieczeństwa, które użytkownicy poczty powinny stosować w celu ochrony swoich danych osobowych;
· skontaktował się z CERT Polska celem potwierdzenia szczegółowych okoliczności i działań podjętych po wykryciu pliku, na skutek czego ustalono, że CERT Polska zwrócił się do administratora serwisu Virus Total żądanie usunięcia pliku, które zostało zrealizowane 17 stycznia 2024 r.
Spółka sprawdziła logi zdarzeń i od ujawnienia pliku w Virus Total do dziś odnotowano logowania do Pani/Pana konta. W związku z tą okolicznością oraz ze względu na fakt, że poprzez ujawnienie Pani/Pana danych w serwisie Virus Total Pani/Pana dane były dostępne dla użytkowników tego serwisu, którzy posiadali licencją płatną i nie wykluczając możliwości, że ujawniony adres e-mail umożliwia dostęp do Konta lub Poczty, a jednocześnie nie dokonała Pani/nie dokonał Pan zmiany tego hasła, nie można wykluczyć zmaterializowania się poniższych ryzyk:
· utraty kontroli nad swoimi danymi osobowymi w tym przejęcia Konta i Poczty, co może prowadzić do wykorzystania danych znajdujących się w tych usługach.
· ograniczenia możliwości realizowania przez Panią/Pana praw z art. 15-22 RODO ponieważ w celu realizacji wniosku podmiotu danych konieczne jest potwierdzenie tożsamości wnioskującego brak dostępu do konta pocztowego może utrudnić lub uniemożliwić realizację praw z art. 15-22 RODO;
· kradzieży lub sfałszowania tożsamości w tym do podszywania się pod Panią/Pana np. poprzez publikowanie komentarzy w serwisach gazeta.pl lub logowania do innych serwisów przy wykorzystaniu tej samej pary danych: adres e-mail i hasło lub zmiany danych do logowania do tych serwisów przy wykorzystaniu skrzynki pocztowej w domenie gazeta.pl.
· założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, usługach bankowych, ubezpieczeniowych);
· uzyskania autoryzacji do usług bankowych, ubezpieczeniowych lub telekomunikacyjnych w wyniku posłużenia się Pani/Pana danymi osobowymi, np. w celu zamówienia dodatkowych usług lub urządzeń w Pani/Pana imieniu;
Administrator nie ma wiedzy jakie dane i pliki użytkownicy przechowują w swojej poczcie elektronicznej. Zaznaczenia wymaga, że w zależności od rodzaju informacji (w tym danych osobowych) przetrzymywanych na skrzynce pocztowej konsekwencje tego incydentu mogą być także dalej idące niż wskazane powyżej, na przykład:
· zaciągnięcie zobowiązań finansowych w instytucjach pozabankowych w Pani/Pana imieniu, mogących skutkować stratą finansową dla Pani/Pana;
· uzyskania autoryzacji do usług bankowych, ubezpieczeniowych lub telekomunikacyjnych w wyniku posłużenia się Pani/Pana danymi osobowymi, np. w celu zamówienia dodatkowych usług lub urządzeń w Pani/Pana imieniu;
· podjęcia próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów wymaga podania adresu e-mail i hasła np. Luxmed, TU Zdrowie, Alab;
· założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej);
· uzyskanie na Pani/Pana temat informacji osobistych, które mogą naruszyć Pani/Pana dobre imię (np. poprzez zapoznanie się z intymnymi mailami lub sprawdzenie faktu zarejestrowania Konta na stronach mogących ujawniać dane o seksualności, poglądach politycznych, przekonaniach religijnych).
Podkreślamy jednak, że brak jest dowodu, iż takie niezgodne z prawem wykorzystanie danych mogło nastąpić. Jednak ze względu na fakt, że Pani/Pana dane zostały ujawnione nawet ograniczonej grupie osób, która wykupiła stosowną licencję, nie można takiego ryzyka w sposób całkowity, wykluczyć.
Dlatego w celu ochrony swojej prywatności i zminimalizowania ryzyka wystąpienia negatywnych skutków tego incydentu rekomendujemy:
· niezwłocznie zmienić hasło do Konta i Poczty, zapobiegnie to uzyskaniu dostępu do Konta, Poczty i danych oraz plików umieszczonych na skrzynce elektronicznej;
· nigdy nie używać tych samych danych (adres e-mail i hasło) do logowania w różnych usługach i serwisach, a jeśli to samo hasło jest wykorzystywane w innych usługach/serwisach dokonać jego zmiany w każdej z tych usług i w każdym z tych serwisów – może to ograniczyć skutki incydentu poprzez ograniczenie go wyłącznie do jednej usługi/serwisu;
· zachować ostrożność przy podawaniu swoich danych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonicznie;
· poinformować dostawców usług bankowych, medycznych, ubezpieczeniowych oraz telekomunikacyjnych o możliwości kradzieży tożsamości i ustawienia loginu (adresu e-mail) i hasła, co może uchronić Panią/Pana przed próbą wyłudzenia na Pani/Pana dane osobowe usług bankowych, medycznych, ubezpieczeniowych, telekomunikacyjnych lub nabycia urządzeń.
W celu uzyskania dodatkowych informacji od Agora S.A. na temat naruszenia, podjętych środków zaradczych lub skorzystania z Pani/Pana praw dotyczących przetwarzania danych osobowych, może Pani/Pan skontaktować się z naszym Inspektorem Ochrony Danych –
p. Natalią Domagałą w następujący sposób: elektronicznie na adres iod@agora.pl lub korespondencyjnie na adres siedziby Spółki tj.
AGORA S.A.
Czerska 8/10
00-732 Warszawa
z dopiskiem „IOD".
Z wyrazami szacunku,
Zespół Ochrony Danych Osobowych