Szanowni Państwo,
W dniu 21 kwietnia 2023 r. zostaliśmy poinformowani o zdarzeniu, w wyniku którego osoby trzecie, mogły naruszyć poufność danych osobowych przechowywanych w bazie między innymi elektronicznego biura obsługi klienta (dalej „e-BOK”) Lubskich Wodociągów i Kanalizacji Spółki z ograniczoną odpowiedzialnością (dalej „LWiK”), przy czym w odniesieniu do klientów LWiK są to dane 77 osób.
Nie zostało potwierdzone, aby wskutek działania jakiekolwiek dane osobowe zostały upublicznione. Nie mamy pewności czy w ogóle to nastąpi. Z uwagi na to, że baza, do której nastąpiło włamanie, zawiera dane osobowe Państwa dotyczące takie jak numer telefonu, uznajemy za nasz obowiązek poinformowanie Państwa o tym zdarzeniu. Dodatkowo w toku zdarzenia ujawnione zostały informacje dotyczące wysokości ostatniej należności do zapłaty na rzecz LWiK, rachunku technicznego do dokonywania wpłat, numeru faktury, daty wystawienia faktury oraz terminu zapłaty. Samo zdarzenie dotyczy działalności podmiotu przetwarzającego dane osobowe na zlecenie LWiK tj. podmiotu obsługującego komunikaty sms wysyłane do klientów e-BOK
Niezwłocznie po zdarzeniu podmiot ten podjał szereg działań prewencyjnych, w tym między innymi:
* wymuszenie zmiany hasła na koncie LWiK,
* ograniczenie możliwości logowania z nieautoryzowanych numerów IP,
* zabezpieczenie kluczy API,
* zresetowanie dostępów do całej infrastruktury,
* wdrożenie dodatkowych algorytmów zabezpieczających.
Podatność w systemie została zidentyfikowana i usunięta.
Uprzejmie informujemy, iż niezwłocznie po uzyskaniu informacji z zdarzeniu i w celu zminimalizowania potencjalnych negatywnych dla Państwa skutków, podjęliśmy stosowne kroki polegające na:
- zgłoszeniu zaistniałego naruszenia Prezesowi Urzędu Ochrony Danych Osobowych,
- wysłaniu stosownej wiadomości do osób, których zdarzenie dotyczy.
W związku z powyższym jesteśmy zobligowani do przedstawienia Państwu możliwych konsekwencji wskazanego zdarzenia. Potencjalną konsekwencją ujawnienia Państwa danych osobowych może być to, że dane te mogą posłużyć osobom, które wejdą w ich posiadanie, do niechcianych przez Państwa kontaktów przy pomocy telefonu.
W celu zminimalizowania powyższych potencjalnych negatywnych skutków opisywanego naruszenia zalecamy Państwu podjęcie następujących działań:
- zachowanie ostrożności podczas rozmów telefonicznych z nieznanymi Państwu osobami,
- dokładną analizę otrzymywanych komunikatów zawartych w wiadomościach SMS w celu uniknięcia np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Państwo korzystacie;
- w razie powzięcia podejrzenia co do popełnienia przestępstwa z wykorzystaniem Państwa danych osobowych – zawiadomienie o podejrzeniu popełnienia przestępstwa właściwych organów ścigania.
Jeżeli macie Państwo jakiekolwiek pytania lub chcieliby nam Państwo przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym Inspektorem Ochrony Danych Radcą Prawnym Mają Grzegorczyk pod adresem e-mail: iod@lwik.lubsko.pl.
Pragniemy przeprosić za zaistniałe zdarzenie i wyrażamy nadzieję, że powyższe wyjaśnienia okażą się pomocne. Jednocześnie wskazujemy, że na każdym kroku dokładamy najwyższej staranności w celu zabezpieczenia danych osobowych, które przetwarzamy.