T-Mobile prosi o hasło w mailu. Niedługo będzie to poważne naruszenie

Dostałem od T-Mobile maila o zaległościach. Sęk w tym, że rachunek został już opłacony, a dane podane w mailu nie zgadzały się z “prawidłową” fakturą. Potem przypomniałem sobie, że podpisanie umowy z operatorem było bardziej skomplikowane niż powinno. Kurier nie dostarczył przesyłki, więc pani na infolinii zasugerowała, żeby tamto zamówienie skasować i złożyć przez telefon nowe. Pomyślałem więc, że może to po prostu błąd i umowa wciąż jest w systemie.

Ale w mailu o zaległościach nie pasował mi styl. Nadawcą było konto o nazwie "obslugaPlatnosci1" (czemu nie po prostu “obslugaplatnosci” - czy “jedynka” nie została wstawiona, żeby uśpić moją czujność i odróżnić się od “prawdziwego” T-Mobile?), a w treści okazywało się, że do wpłaty jest "21. zł". Suma w ogóle nie zgadzała się z umową, a wpisanie jej sugerowało błąd - może ktoś chciał wpisać "210", ale zrobił to niedbale? Właśnie tak robią przecież oszuści - nie są znani z nienagannego stylu.

Zgłosiłem sprawę do operatora. Okazało się, że… konto jest prawdziwe. Oszustwa nie ma, ale za to jest umowa, której być nie powinno. Postanowiłem więc wyjaśnić sprawę mailowo. Odezwała się ode mnie inna osoba, która poprosiła o… hasło do serwisu abonenckiego i numer PESEL. A ja chciałem tylko wiedzieć, kiedy umowa, na którą są zaległości, została zamówiona. Zdębiałem ponownie.

Załóżmy, że podaję hasło, tak jak mnie poproszono. I załóżmy, że ktoś włamuje się na moją pocztę. Nawet nie musi zakładać, że mam jedno hasło do wszystkich serwisów i strzelać przy próbach logowania, bo np. do strony operatora już zna - właśnie dlatego, że zostałem poproszony oto przez przedstawiciela firmy. A skoro takiego scenariusza wykluczyć nie można, to chyba zgodzimy się, że mamy do czynienia z bardzo ryzykowną i niebezpieczną praktyką.

Tym bardziej że problem nie dotyczy tylko mnie. Jak pisze portal Zaufana Trzecia Strona, takich przypadków jest więcej. Tak konieczność podawania hasła i numeru PESEL wyjaśniał rzecznik operatora, Piotr Żaczko:

“Pytanie o hasło jest uzasadnione – jest to element identyfikacji Klienta. Jest to potwierdzenie, że Klient jest osobą upoważnioną do dokonywania zmian na koncie. Co ma istotne znaczenie, jak w tym przypadku, gdy chodziło o zmiany w aplikacji selfcare. Hasło, które ustanawia Klient podczas podpisywania umowy, służy do weryfikacji kontaktu Klienta z nami – telefonicznie/mailowo/pisemnie. Jest to powszechną praktyką. W serwisach samoobsługowych potwierdzenie następuje po wprowadzeniu hasła jednorazowego, przesłanego na telefon Klienta, nie autoryzuje się hasłem abonenckim”.

W komentarzach czytelnicy piszą Zaufanej Trzeciej Strony piszą, że to powszechna praktyka - nie tylko u operatorów, ale też np. u lotniczych przewoźników.

Oczywiście rozwiązanie miałoby sens w świecie idealnym, gdyby rzeczywiście każdy stosował inne hasło do różnych serwisów. Ale jak wiemy, większość raczej tego nie robi. Zresztą nawet przy tym utopijnym scenariuszu nie byłaby to słuszna praktyka, ponieważ oznaczałoby, że każdy klient musiałby spalić jedno swoje hasło - sprytnie wymyślone, zgodnie z zasadami tworzenia bezpiecznych szyfrów.

Ujawnianie hasła w wiadomości to bardzo niebezpieczne z prostego powodu. Przy każdych oszustwach uczula się, by nie podawać prywatnych czy poufnych danych w mailu czy innych wiadomościach. Tymczasem firmy, które otwarcie przyznają, że tak należy właśnie robić, ryzykują bezpieczeństwem swoich klientów. Bo gdy w końcu napisze do nich oszust, nikt nie będzie zdziwiony, jeśli zostanie poproszony o podanie hasła, loginu i w dodatku numeru PESEL.

Wszystko może się jednak zmienić, a to za sprawą RODO, które w życie wejdzie pod koniec maja. W komunikacie przesłanym ZTS prawniczka Beata Marek, autorka serwisów Cyberlaw.pl oraz Pomocnik RODO, stwierdza, że login i hasło przesyłane hasłem - na prośbę serwisu - “będzie prowadzić do naruszenia ochrony danych”.