Holding 1, właściciel m.in. Traficar, Polskiej Grupy Dealerów informuje o możliwym wycieku danych. Do klientów są rozsyłane maile i wiadomości sms o nieautoryzowanym dostępie do infrastruktury spółek z grupy Holding 1. Do grupy PGD należą salony m.in. Alfa Romeo, Cupra, Dacia, Fiat, Ford, Hyundai, Jeep czy Opel.

 

14 lipca 2024 roku doszło do ataku hackerskiego serwerów, na których znajdowały się systemy operacyjne do obsługi klientów. Atak został wykryty i została wyłączona dalsza możliwość pobierania danych. Zaznaczyć należy, że otrzymanie wiadomości zawierającej ww. komunikat nie oznacza, że dane klienta zostały pobrane czy tez wykorzystane dalej, jest to działanie, zgodne z wytycznymi UODO w tego rodzaju sytuacjach. Zawiadomienie o naruszeniu ochrony danych osobowych osoby, której dane dotyczą ma miejsce wtedy gdy naruszenie ma wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W motywach Rozporządzenia Parlamentu Europejskiego i Rady (UE 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

  • ogólnego rozporządzenia  o  ochronie  danych, wskazano że ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:
  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

 

W praktyce Prezes UODO uznaje, że wysokiego ryzyka jest wyciek danych takich jak PESEL czy seria i numer dowodu osobistego.

 

Wśród zaatakowanych danych znajdowały się imiona, nazwiska, numery telefonów, numery PESEL i numery dowodów osobistych. W Darknecie pojawiły się hasła (w tym również hasała do zewnętrznych serwerów) i loginy PGD, a także inne dane, które zostały wykradzione. Włamywacze udostępnili również fotografie szkód, dokumenty dotyczące metod lakierowania, regulaminy i wzory umów, umowy B2B.

 

Jak należy się zachować w przypadku otrzymania wiadomości o wycieku danych? W pierwszej kolejności należy zastrzec numer PESEL (można to zrobić przez Internet lub w urzędzie gminy) oraz zachować ostrożność w przypadku ewentualnego podjęcia kontaktu przez oszustów podających się za pracowników spółek należących do Holding 1 w celu „uzupełninia danych”.  Oszuści mogą próbować wyłudzić kolejne dane. Należy również uważać na rozsyłane linki w wiadomościach sms lub mailach.

 

Komplet danych z numerem PESEL oraz numerem dowodu osobistego może posłużyć do złożenia m.in. wniosku o kredyt w imieniu tej osoby, dlatego tak istotne jest zachowanie ww. środków ostrożności.