Kiedyś pisałem o tym, jak państwo chroni nasz PESEL, więc się powtarzam. W dobie zagrożenia koronawirusem podobne tematy schodzą na plan dalszy, ale mimo wszystko wydaje mi się dość ciekawe, by przeanalizować jeden z przypadków niefrasobliwości jednej z firm pożyczkowych. Chętnych zapraszam do zajrzenia na Zaufaną Trzecią Stronę, gdzie cała sprawa jest opisana. Dla tych mniej chętnych, przygotowałem mały skrót, który mam nadzieję nie znuży.
Zaczyna się niewinnie. Pewien wścibski człowiek, szukający dziur w zabezpieczeniach internetowych, 3 marca odnalazł bazę danych użytkowników firmy pożyczkowej MoneyMan.pl (chwilówki przez internet), czyli ID Finance Poland. Słówko „Poland” oznacza, że to nie polska firma, o czym jeszcze będzie mowa. Baza była dostępna dla każdego, kto ma tyle wiedzy, by do niej dotrzeć. Zawierała dane 260 tysięcy ludzi – między innymi: imię i nazwisko, adres e-mail, PESEL, nr dowodu osobistego lub paszportu, hasło do serwisu (niezaszyfrowane!), numer rachunku bankowego. Czyli komplet umożliwiający kradzież pieniędzy np. w innej firmie pożyczkowej.
Robi się gorąco. Badacz (kiedyś nazwalibyśmy go hackerem, ale dziś to miano zarezerwowane jest dla złych ludzi) poinformował MoneyMan.pl, że mogą mieć kłopoty, że ich baza jest niezabezpieczona w internecie, że zawiera ważne dane i że może by coś z tym zrobili… Firma zignorowała jego ostrzeżenia. Można się domyślić, że skoro jedna osoba tam trafiła, to może trafić ktoś, kto nie ma dobrych intencji. I rzeczywiście – kilka dni później (9 marca) prawdziwi hakerzy ukradli bazę i zażądali okupu.
W końcu 14 marca ktoś się obudził w MoneyMan.pl i zresetował hasła wszystkim swoim użytkownikom. Nowe hasła firma wysyłała zwykłym mejlem, co samo w sobie stanowi złą praktykę, ale biorąc pod uwagę ile mleka się rozlało wcześniej, to już drobny szczegół. Nawet jak okup zostanie zapłacony, to przecież dane wcześniej czy później trafią na czarny rynek.
Podsumujmy: Złodzieje mogą wkrótce okraść 260 tysięcy Polaków, bo mają dane wystarczające do wzięcia chwilówki u jakiegoś innego pożyczkodawcy. Przypomnę, że podobna wpadka Moreli.net dotycząca 35 tysięcy ludzi poskutkowała dwumilionową karą UODO. Przemnożyć ją przez 7?
A teraz spostrzeżenia, które są tyleż ciekawe, co smutne.
- Ochrona danych nie istniała w MoneyMan.pl. Firma z rynku finansowego, mająca ambicje być globalną, udostępniła (prawie) publicznie ważne dane klientów. Zastanawiam się, czy to nie norma u chwilówkarzy. W końcu co ich obchodzi bezpieczeństwo ludzi – ważne, żeby ściągnąć z nich kolejną ratę.
- ID Finance Poland jest spółką-córką firmy rosyjskiej, co oznacza, że nasze służby mogą mieć kłopoty z egzekwowaniem wobec niej prawa. Na przykład w przypadku dostatecznie dużej kary nałożonej przez UODO, ID Finance może zlikwidować spółkę. Rzecz jasna wcześniej robiąc z niej wydmuszkę – rynek rosyjski od lat umie robić to skutecznie.
- Pod artykułem w komentarzach, pojawiły się głosy „klientów” w rodzaju: nigdy tam konta nie zakładałam otrzymałam takiego maila oraz SMS o zmianie hasła, albo Też dostałam sms i wiadomość na maila, nigdy nie logowałam się na MoneyMan czy Nigdy nie zakładałam tam konta. Jeśli założymy, że osoby te mówią prawdę (czemu miałyby kłamać w anonimowych komentarzach), to w krótkim czasie mogą spodziewać się komornika, bo ktoś wziął już na nich chwilówkę w MoneyMan.pl. Istnieje jeszcze możliwość, że firma obsługuje pranie brudnych pieniędzy przez tzw. słupy. Działo się już tak w SKOK Wołomin. Pożyczki pobrane były na konkretnych ludzi, którzy co prawda nie mieli o tym pojęcia, a raty i tak były spłacane. Przy lichwiarskich poziomach opłat można w ten sposób skutecznie wyprać nielegalne pieniądze. Pozostaje jeszcze jedno wytłumaczenie: ID Finance wykupił część danych od innej firmy lichwiarskiej i przetwarza je bez podstawy (a przynajmniej bez spełnionego obowiązku informacyjnego). Każda z tych trzech możliwości wygląda koszmarnie.
- MoneyMan.pl ma bardzo dobry PR. W sieci można znaleźć pięknie brzmiące artykuły o: „zaawansowaniu technologicznym”, „szybko rozwijającej się firmie”, „dużych zaletach”, „doskonałości operacyjnej” czy „innowacyjnych rozwiązaniach.”. Ale w przypadku wpadki obraz staje się mniej różowy. Wskazana do kontaktów infolinia milczy: dzwonię dziś do tej firmy od 8.00 i głucha cisza, co raczej źle wróży zarówno klientom jak i „klientom”.
* * *
260 tysięcy ludzi może zostać w każdej chwili okradzione. Praktyka działania e-sądu, łatwy dostęp do bazy PESEL i funkcjonalność Centralnej informacji o rachunkach bankowych powodują, że nawet zastrzeżenie dowodu (na policji i w banku), stanowi kiepską ochronę. Eufemizm.
Już kilka razy Sejm próbował wydusić z siebie dobrą ustawę antylichwiarską. I jakoś nie może zrobić tego skutecznie.
