Firma, z usług której korzysta Urząd Miasta Poznania, by wysyłać SMS-y klientom, padła ofiarą ataku hakerskiego. Przestępcy uzyskali dostęp do archiwalnej bazy danych. Były w niej wyłącznie numery telefonów oraz treści urzędowych komunikatów, które nie zawierały danych osobowych.
Urząd Miasta wysyła do mieszkańców SMSy informujące o zaistniałej sytuacji. Niestety nie do końca przemyślano ten krok, ponieważ w wiadomości znajduje się link przekierowujący na stronę miasta, gdzie przeczytać możemy informacje o całej sytuacji. Dlatego warto zwracać uwagę na to w jakie linki klikamy, żeby nie dać się nabrać na podrobione wiadomości.
Chodzi o firmę Vercom S.A. z siedzibą w Poznaniu – SerwerSMS.pl. Urząd korzysta z jej usług, by wysyłać klientom SMS-y. To np. wiadomości o zarezerwowaniu wizyty czy powiadomienia dotyczące możliwości odbioru dokumentów. 19 kwietnia firma stwierdziła naruszenie bezpieczeństwa, polegające na uzyskaniu danych logowania do systemu oraz nieautoryzowanego dostępu do fragmentu archiwalnej bazy danych. Przyczyną zdarzenia był atak hakerski.
Przestępcy uzyskali wyłącznie dostęp do numerów telefonów oraz do przekazywanych przez urząd miasta komunikatów, które nie zawierały danych osobowych.
Otrzymaliśmy zapewnienie, że podatność w systemie wykorzystana do przeprowadzenia ataku została zidentyfikowana i usunięta, a dane klientów urzędu są bezpieczne – mówi Michał Łakomski, dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP.
Wprowadzono też szereg działań prewencyjnych, które mają zapobiec wystąpieniu podobnego zdarzenia w przyszłości. Platforma jest stale monitorowana pod kątem wszelkiej podejrzanej aktywności.
Firma Vercom S.A. niezwłocznie poinformowała o ataku policję oraz zgłosiła naruszenie do prezesa Urzędu Ochrony Danych Osobowych. Miasto prowadzi postępowanie wyjaśniające.
W trosce o bezpieczeństwo poznanianek i poznaniaków, prewencyjnie zalecamy zachowanie czujności wobec nieoczekiwanych wiadomości i połączeń, zwłaszcza tych od nieznanych nadawców – mówi Michał Łakomski. – Zalecamy też dokładne analizowanie komunikatów zawartych w wiadomościach SMS oraz połączeniach, które mogą być próbą pozyskania większej ilości danych, a także zachowanie ostrożności przy otwieraniu linków lub załączników z podejrzanych wiadomości.
Wszyscy, którzy mają pytania lub chcieliby przekazać dodatkowe informacje, mogą kontaktować się z urzędowym Inspektorem Ochrony Danych na adres e-mail: iod@um.poznan.pl.
W dniu 25 kwietnia dostałem też kilkadziesiąt smsów od Enea z potwierdzeniem rezerwacji. Wcześniej podałem mój telefon w Enea rezerwując wizytę w marcu.