Oświadczenie z dnia 8.01.2024 21:00

ABI PLUS KRZYSZTOF FREJMAN właściciel Portalu ABILET.pl, jako Administrator danych osobowych, mając na względzie wymogi zawarte art. 34 ust. 1 w związku z ust. 3 lit c) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), niniejszym informuje o możliwości naruszenia ochrony danych osobowych, w związku z incydentem do jakiego doszło w nocy z 05 stycznia na 06 stycznia 2024r.

W tym czasie doszło do ataku hackerskiego na serwery Administratora znajdujące się w Centrum Przetwarzania Danych Uniwersytetu Zielonogórskiego w Zielonej Górze, w wyniku którego, zostały zablokowane wszystkie serwisy działające w środowisku wirtualizacji utrzymywanym w Centrum Komputerowym Uniwersytetu Zielonogórskiego. Choć wg. deklaracji CPD UZ, nie doszło do wycieku danych, należy zakładać, że potencjalnie było to możliwe. Wśród potencjalnie zagrożonych zasobów mogły znajdować się wybrane dane osobowe pochodzące z różnych źródeł (m.in. dane z systemu finansowo-księgowego oraz dane klientów oraz transakcje zawierane za pośrednictwem portalu Abilet.pl), w tym imiona i nazwiska osób, nazwa firmy, adresy zameldowania, adresy poczty atakelektronicznej, numery PESEL, telefonów, NIP.

Po wykryciu naruszenia bezpieczeństwa nielegalny dostęp został zablokowany, podjęte zostały działania zabezpieczające mające na celu uniknięcie podobnych zdarzeń w przyszłości.

Centrum Komputerowe Uniwersytetu Zielonogórskiego jako właściciel Centrum Przetwarzania Danych Uniwersytetu Zielonogórskiego dokonał właściwych zgłoszeń w zakresie opisanego zdarzenia, w przewidzianych w przepisach terminach tj. w ciągu 24 godzin od wykrycia zdarzenia do CERT Polska (CSIRT NASK). Sprawa została zgłoszona także na policję. Administrator zgłosić zdarzenie do Prezesa Urzędu Ochrony Danych Osobowych.
 

Realizując obowiązek wynikający z treści art. 34 RODO Administrator informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią.
 

Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:

- uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;

- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;

- korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego  - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;

- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.

- zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;

- próby zawarcia umów cywilno-prawnych, np. najmu nieruchomości;

- wykorzystania danych do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatów.
 

Jakkolwiek, jak napisano powyżej nieuprawniony dostęp do danych osobowych, jest jedynie prawdopodobny lecz nieprzesądzony, zalecamy - w celu zabezpieczenia się przed negatywnymi skutkami zaistniałego naruszenia - aby osoby których dane osobowe mogły ulec naruszeniu, podjęły kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
 

- założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). 

W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;

- zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;

- dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.

Administrator danych osobowych w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia  podjął niezwłocznie adekwatne środki techniczne i organizacyjne.
 

Jeśli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji. W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych: Rafał Wielgus, tel. 68 411 40 00 lub email: [email protected].

Jednocześnie informujemy, że aktualnie udostępniona wersja serwisu, pochodzi z danych odtwarzanych. Oznacza to, że mogą wystąpić miejscowe deficyty, co w praktyce może determinować konieczność założenia nowych kont dla części naszych klientów. 
 

Uprzejmie przepraszamy za zaistniałe niedogodności i deklarujemy stałe prace nad odzyskaniem pierwotnej sprawności.