T-Mobile prosi o hasło w mailu. Niedługo będzie to poważne naruszenie

T-Mobile prosi o hasło w mailu. Niedługo będzie to poważne naruszenie16.02.2018 08:46
Źródło zdjęć: © WP.PL

Firmy szczególnie powinny dbać o bezpieczeństwo użytkowników, tymczasem zdarza się, że same wzbudzają podejrzenia. I popularnego operatora można pomylić ze zwykłym oszustem.

Dostałem od T-Mobile maila o zaległościach. Sęk w tym, że rachunek został już opłacony, a dane podane w mailu nie zgadzały się z “prawidłową” fakturą. Potem przypomniałem sobie, że podpisanie umowy z operatorem było bardziej skomplikowane niż powinno. Kurier nie dostarczył przesyłki, więc pani na infolinii zasugerowała, żeby tamto zamówienie skasować i złożyć przez telefon nowe. Pomyślałem więc, że może to po prostu błąd i umowa wciąż jest w systemie.

Ale w mailu o zaległościach nie pasował mi styl. Nadawcą było konto o nazwie "obslugaPlatnosci1" (czemu nie po prostu “obslugaplatnosci” - czy “jedynka” nie została wstawiona, żeby uśpić moją czujność i odróżnić się od “prawdziwego” T-Mobile?), a w treści okazywało się, że do wpłaty jest "21. zł". Suma w ogóle nie zgadzała się z umową, a wpisanie jej sugerowało błąd - może ktoś chciał wpisać "210", ale zrobił to niedbale? Właśnie tak robią przecież oszuści - nie są znani z nienagannego stylu.

Zgłosiłem sprawę do operatora. Okazało się, że… konto jest prawdziwe. Oszustwa nie ma, ale za to jest umowa, której być nie powinno. Postanowiłem więc wyjaśnić sprawę mailowo. Odezwała się ode mnie inna osoba, która poprosiła o… hasło do serwisu abonenckiego i numer PESEL. A ja chciałem tylko wiedzieć, kiedy umowa, na którą są zaległości, została zamówiona. Zdębiałem ponownie.

Załóżmy, że podaję hasło, tak jak mnie poproszono. I załóżmy, że ktoś włamuje się na moją pocztę. Nawet nie musi zakładać, że mam jedno hasło do wszystkich serwisów i strzelać przy próbach logowania, bo np. do strony operatora już zna - właśnie dlatego, że zostałem poproszony oto przez przedstawiciela firmy. A skoro takiego scenariusza wykluczyć nie można, to chyba zgodzimy się, że mamy do czynienia z bardzo ryzykowną i niebezpieczną praktyką.

Tym bardziej że problem nie dotyczy tylko mnie. Jak pisze portal Zaufana Trzecia Strona, takich przypadków jest więcej. Tak konieczność podawania hasła i numeru PESEL wyjaśniał rzecznik operatora, Piotr Żaczko:

“Pytanie o hasło jest uzasadnione – jest to element identyfikacji Klienta. Jest to potwierdzenie, że Klient jest osobą upoważnioną do dokonywania zmian na koncie. Co ma istotne znaczenie, jak w tym przypadku, gdy chodziło o zmiany w aplikacji selfcare. Hasło, które ustanawia Klient podczas podpisywania umowy, służy do weryfikacji kontaktu Klienta z nami – telefonicznie/mailowo/pisemnie. Jest to powszechną praktyką. W serwisach samoobsługowych potwierdzenie następuje po wprowadzeniu hasła jednorazowego, przesłanego na telefon Klienta, nie autoryzuje się hasłem abonenckim”.

W komentarzach czytelnicy piszą Zaufanej Trzeciej Strony piszą, że to powszechna praktyka - nie tylko u operatorów, ale też np. u lotniczych przewoźników.

Oczywiście rozwiązanie miałoby sens w świecie idealnym, gdyby rzeczywiście każdy stosował inne hasło do różnych serwisów. Ale jak wiemy, większość raczej tego nie robi. Zresztą nawet przy tym utopijnym scenariuszu nie byłaby to słuszna praktyka, ponieważ oznaczałoby, że każdy klient musiałby spalić jedno swoje hasło - sprytnie wymyślone, zgodnie z zasadami tworzenia bezpiecznych szyfrów.

Ujawnianie hasła w wiadomości to bardzo niebezpieczne z prostego powodu. Przy każdych oszustwach uczula się, by nie podawać prywatnych czy poufnych danych w mailu czy innych wiadomościach. Tymczasem firmy, które otwarcie przyznają, że tak należy właśnie robić, ryzykują bezpieczeństwem swoich klientów. Bo gdy w końcu napisze do nich oszust, nikt nie będzie zdziwiony, jeśli zostanie poproszony o podanie hasła, loginu i w dodatku numeru PESEL.

Szykują się duże kary? Firmy nie są gotowe na nowe przepisy

Wszystko może się jednak zmienić, a to za sprawą RODO, które w życie wejdzie pod koniec maja. W komunikacie przesłanym ZTS prawniczka Beata Marek, autorka serwisów Cyberlaw.pl oraz Pomocnik RODO, stwierdza, że login i hasło przesyłane hasłem - na prośbę serwisu - “będzie prowadzić do naruszenia ochrony danych”.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA