Rebtel: nowy operator z problemami. Obcy mogli przenieść wasze numery telefonów

W prosty sposób można było przenosić numery do nowego operatora, firmy Rebtel. Ułatwienie dla klientów mogli wykorzystać przestępcy.

O kłopotach nowego operatora informuje Niebezpiecznik. Według zgłoszeń klientów, ci otrzymywali karty SIM z nie swoim numerem. Jedna z osób, która dostała cudzą kartę SIM, tak opisuje swój przypadek:

"Pół biedy, że zaczęły dzwonić starsze panie do koleżanki — karta pozwoliła mi się zalogować do konta w sieci (tymczasowym hasłem sms), gdzie mogłem ujrzeć dane abonenta (oczywiście nie moje) wraz z adresem i PESELEM! Kolejny dzień to SMS-y z mBanku. Dowiedziałem się, skąd pani bierze pieniądze i jaki ma stan konta".

Nie da się ukryć - nie chcielibyśmy, żeby takie informacje na nasz temat trafiały w niepowołane ręce. Ale dlaczego w tym przypadku tak się stało? Wszystko przez to, że kurierzy nie sprawdzali, komu wręczają przesyłki z kartami SIM. A konsekwencje tego niedopatrzenia mogły być znacznie poważniejsze.

W teorii możliwe było więc przeniesienie nie swojego numeru do nowej sieci i przypisanie go do siebie. Wystarczyło znać PESEL właściciela dowolnego numeru. A że zdobycie takich informacji nie jest problematyczne, najlepiej pokazują liczne oszustwa, w których przestępcy chcą wykraść numer PESEL. Przejęcie czyjegoś numeru pozwoliłoby np. na kradzież środków, jak w przekręcie z duplikatem karty SIM.

Operator w liście do klientów, który zamieścił Niebezpiecznik, przyznaje:

"Ustaliliśmy, że część nowych klientów Rebtel otrzymała nieprawidłowe karty SIM (posiadające ten sam numer telefonu jak niektórzy obecni klienci), w rezultacie, w niektórych przypadkach nowi klienci mieli możliwość zalogowania się do konta “MyRebtel” i za jego pośrednictwem mogli otrzymać dostęp do niektórych danych osobowych obecnych klientów (takich jak: imię i nazwisko, adres e-mail, adres korespondencyjny, dane o połączeniach, niepełne dane dotyczące numeru karty kredytowej poprzedniego użytkownika (jedynie cztery ostatnie cyfry)".

Sami użytkownicy dodają, że dostęp do cudzego konta "MyRebtel" pozwalał im także poznać numer PESEL.

"Na chwilę obecną nie mamy żadnych sygnałów, że Pana/Pani dane osobowe zostały upublicznione lub wykorzystane" - dodaje operator w komunikacie. Niebezpiecznik radzi jednak, by skontaktować się z Rebtel i uzyskać na piśmie informację, czy ktoś inny miał dostęp do twoich danych.

Niestety, sprawa dotyczy też tych, którzy nie są klientami Rebtel. Wszyscy mogą paść ofiarą wrogiego przejęcia numeru. Należy więc czujnie obserwować swój telefon. Gdy się wyłączy lub nie będzie miał dostępu do zasięgu, może to być znak, że ktoś przeniósł numer do nowej sieci.

Obecnie Rebtel na swojej stronie informuje:

"Szanowni klienci, zainteresowanie naszą ofertą jest tak duże, że obecnie nie mamy więcej kart SIM. Z tego powodu dostawa Twojej karty potrwa około 10 dni. Jeśli zdecydujesz się przenieść swój numer do Rebtel, nie martw się, proces przenoszenia numeru nie rozpocznie się, dopóki nie dostaniesz karty SIM".

Skontaktowaliśmy się z osobami, których potencjalnie mogła, ale nie musiała, dotyczyć sytuacja. Nie mamy żadnych sygnałów, że ich dane osobowe zostały upublicznione lub wykorzystane. Jednakże w celu zachowania odpowiednich środków ostrożności, zamknęliśmy wszystkie takie konta.

Za zaistniałą sytuację wszystkich użytkowników bardzo przepraszamy i jednocześnie pragniemy zapewnić, że ochrona prywatności jest jednym z naszych priorytetów i dokładamy wszelkich starań w celu zapewnienia bezpieczeństwa przekazywanych nam danych osobowych zgodnie z najwyższymi standardami.

Ponadto pragniemy poinformować, że Rebtel podjął następujące kroki mające na celu zminimalizowanie skutków incydentu:

• Gdy tylko pojawiło się po naszej stronie przypuszczenie, że wystąpiły nieprawidłowości (tj. jeszcze przed momentem, gdy pojawienie się naruszenia ochrony danych zostało stwierdzone), Rebtel, równolegle z prowadzonym dochodzeniem, na szeroką skalę podjął proaktywne działania mające na celu zapewnienie bezpieczeństwa i integralności danych klientów, m.in. zamknęliśmy konta i skontaktowaliśmy się ze wszystkimi klientami potencjalnie dotkniętymi incydentem;
• Rebtel przeprowadził szkolenia przypominające dotyczące ochrony danych osobowych (przede wszystkim w zakresie poufności danych, procedur dotyczących przechowywania i dostępu do danych osobowych oraz związanych z tym zasad odpowiedzialności);
• Rebtel przeprowadził również przegląd i aktualizację wewnętrznych procedur odnoszących się do incydentu, a dokładnie związanych z dystrybucją kart SIM. Rebtel postanowił usunąć manualne procesy odnoszące się do dostarczania i aktywacji kart SIM. Dzięki temu ryzyko pojawienia się błędu ludzkiego zostanie ograniczone do minimum.
• _W nawiązaniu do weryfikacji tożsamości. Niedawno dopiero rozpoczęliśmy współpracę z nowym partnerem dostarczającym karty SIM Rebtel. _

Informujemy również, że Rebtel w należyty sposób zawiadomiła o zaistniałym incydencie odpowiedni organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych. Ponadto poprzez poinformowanie naszych użytkowników o incydencie, Rebtel, jako administrator ich danych osobowych, wypełnia obowiązek nałożony na administratora danych w art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).