12 stycznia 2013

Publikacja w serwisie Niebezpiecznik.pl - aktualizacja IV

Karol Wieczorek w kategorii

Serwis Niebezpiecznik.pl publikuje dzisiaj niesprawdzone - i w naszej ocenie nieprawdziwe - informacje na temat rzekomego wykradzenia bazy danych klientów Netii. Już w lipcu 2012 roku w tekście pt. Dane klientów TP S.A. i Netii na sprzedaż, serwis ten powoływał się na osobę posługującą się tym samym nickiem (nvm), która deklarowała posiadanie rzekomo skradzionych baz danych klientów TP S.A. i Netia S.A. Już wtedy Dział Bezpieczeństwa Korporacyjnego Netii kontaktował się z przedstawicielami serwisu Niebezpiecznik.pl oraz osobą posługującą się nickiem nvm w celu uzyskania próbki bazy i weryfikacji prawdziwości tych doniesień. Niestety do chwili obecnej, ani od rzekomego włamywacza, ani od przedstawicieli serwisu Niebezpiecznik.pl, Dział Bezpieczeństwa Korporacyjnego Netii nie otrzymał żadnych próbek rzekomo skradzionej bazy.

Netia stosuje najwyższe standardy staranności i zabezpieczeń celem ochrony danych swoich klientów i każdy przypadek informacji o ewentualnych problemach w tym aspekcie dokładnie sprawdzamy. Również w tym przypadku będziemy dążyć do pełnego wyjaśnienia sprawy i liczymy w tym względzie również na pomoc twórców serwisu Niebezpiecznik.pl.

Aktualizacja:

W odpowiedzi na powyższy wpis przedstawiciel serwisu Niebezpiecznik.pl skontaktował się ze mną i przekazał link do próbki rzekomo wykradzionej bazy danych (Panie Piotrze, dziękuję). W chwili obecnej trwa weryfikacja zawartych tam danych. Sprawie nadany został najwyższy priorytet. 

Aktualizacja II:

Na podstawie informacji podanych przez przedstawiciela serwisu Niebezpiecznik.pl nie jesteśmy w stanie jednoznacznie potwierdzić czy
zaprzeczyć tym rewelacjom. Z uwagi na powagę sprawy, do czasu ostatecznego jej wyjaśnienia, proponujemy Klientom zmianę czterocyfrowego kodu PIN w systemie Netia on-line (www.netiaonline). Doraźnie wyłączona została również automatyczna identyfikacja klientów poprzez kod PIN w systemie obsługi telefonicznej (IVR), a konsultanci weryfikują tożsamość Klientów w oparciu o bardziej szczegółowe dane.

Dokładamy wszelkich starań, aby sprawę jak najszybciej wyjaśnić.

Aktualizacja III: 

Poniżej oświadczenie Netii w sprawie, które przekazaliśmy dzisiaj (14.01.2013) m.in. portalowi Gazeta.pl:

W związku z informacją na temat wycieku danych z systemu, oświadczamy że:
1. Na podstawie dostępnych informacji, upublicznione rekordy zawierają dane związane z 540 kontami abonenckimi. Konta zostały niezwłocznie zabezpieczone.
2. Kontrola zabezpieczeń baz danych Netii wykazała, że według naszej najlepszej wiedzy są one w pełni zabezpieczone przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.
3. Prowadzimy intensywne postępowanie wyjaśniające celem ustalenia sposobu wypływu danych. Podejrzewamy, że źródłem było nielegalne działanie osoby posiadającej dostęp do baz.
4. Do czasu ostatecznego wyjaśnienia sprawy proponujmy klientom zmianę czterocyfrowego kodu PIN w systemie Netia on-line. Doraźnie wyłączona została również automatyczna identyfikacja klientów poprzez kod PIN w systemie obsługi telefonicznej (IVR), a konsultanci weryfikują tożsamość Klientów w oparciu o bardziej szczegółowe dane.

Chciałbym podkreślić, że powyższe oświadczenie nie potwierdza informacji o rzekomo udanym ataku hakerskim na Netię (hacked) i wykradzeniu wszystkich danych abonenckich. Podejrzewamy, że źródłem wycieku danych było nielegalne działanie osoby posiadającej dostęp do baz, a to coś zupełnie innego niż włamanie do sieci.

 

WAŻNE! Aktualizacja IV

Wiązanie informacji PAP z lipca 2011 roku (cytowanych m.in. przez Telepolis.pl) dotyczącej włamania do bazy danych z ostatnim wyciekiem danych (Niebezpiecznik.pl 1 Niebezpiecznik.pl 2) jest bezpodstawne. Takie zdarzenie miało miejsce w czerwcu 2011 roku, ale nie dotyczyło firmy Netia S.A., a pewnej małej spółki, która została przez nas kupiona. Włamano się na serwer archiwalny tej spółki, który nigdy nie był podłączony do sieci korporacyjnej Netii (nie był objęty standardami bezpieczeństwa obowiązującymi w Grupie Netia). Wykradziona wtedy baza danych została odzyskana i zabezpieczona, a sprawcy ujęci przez Policję i skazani prawomocnym wyrokiem sądu.

Oświadczamy, iż ujawniane obecnie rekordy, dotyczące kont abonenckich nie są danymi, które zostały odzyskane po włamaniu z 2011 roku.

Zapewniamy także, że baza danych klientów w Netii - według naszej najlepszej wiedzy - jest należycie zabezpieczona przed nieuprawnionym dostępem z zewnątrz. Bazy Netii są zabezpieczone zgodnie z najlepszymi standardami i przy wykorzystaniu wysokiej klasy narzędzi i technologii.

Ujawniane przez szantażystę rekordy znacznie zawężają źródło ich pochodzenia. Ustalenie sprawcy – w naszej ocenie – powinno być tylko kwestią czasu.

Konta abonenckie, które wskutek kradzieży niektórych danych ich dotyczących mogły być zagrożone, zostały odpowiednio zabezpieczone.

Netia nie zamierza negocjować z szantażystą, ani tym bardziej, płacić mu żadnego okupu, w żadnej walucie.

0

Polecane strony

Tagi

Komentarze

Brak komentarzy. Wyraź swoją opinię jako pierwszy!

Dodaj swoją opinię