KOMUNIKAT
Informacja o nieautoryzowanym dostępie do danych osobowych
Szanowni Państwo,
Niniejszym, zgodnie z art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) informujemy o naruszeniu ochrony danych osobowych, które nastąpiło w ramach naszej organizacji jako administratora danych osobowych. Nasze wewnętrzne analizy wykazały, że incydent może mieć wpływ na Pani/Pana dane osobowe. Dlatego prosimy o dokładne zapoznanie się z treścią poniższego komunikatu.
Opis zdarzenia
W dniu 27.11.2024 r. stwierdziliśmy, że doszło do nieautoryzowanego dostępu do danych osobowych, przechowywanych przez nas u zewnętrznego partnera (dostawcy usługi hostingu). Informację o tym zdarzeniu otrzymaliśmy mailowo. Osoba podejrzana uzyskała dostęp do bazy danych naszych klientów obejmującą okres od lutego 2020 r. do listopada 2021 r.
W wyniku nieautoryzowanego dostępu, osoba nieuprawniona uzyskała dostęp do bazy danych zawierającej dane osób dokonujących zakupu w naszym sklepie internetowym lub dokonujących zakupu naszych produktów oferowanych na innych platformach sprzedażowych (tzw. marketplace) w okresie od lutego 2020 r. do listopada 2021 r. takich jak: imię, nazwisko, adres dostawy, nazwa firmy, dane niezbędne do wystawienia faktury (np. kwota zakupu, ale bez konkretnych pozycji zakupowych), nazwa użytkownika dokonującego zakupu, numer telefonu, adres e-mail (w przypadku zakupu produktów za pośrednictwem marketplace adres e-mail w ujawnionej bazie danych był zaszyfrowany, bez możliwości uzyskania do niego wglądu).
Nasze analizy wskazują, że nie doszło do wycieku haseł, danych płatniczych ani pozostałych danych dostępowych czy historii Państwa transakcji.
Natychmiast po wykryciu incydentu baza danych objęta wyciekiem została usunięta z zasobów partnera, zostały także zmienione wszystkie hasła dostępu do zewnętrznej usługi hostingowej.
Co zrobiliśmy, aby zabezpieczyć Państwa dane?
Niezwłocznie po stwierdzeniu nieautoryzowanego dostępu podjęliśmy działania, mające na celu eliminację jego negatywnych skutków, w szczególności:
- Natychmiast po jego stwierdzeniu usunęliśmy przedmiotową bazę danych z zasobów partnera.
- Powiadomimy Prezesa Urzędu Ochrony Danych Osobowych oraz właściwe instytucje (m.in. Policję, CERT), aby zagwarantować pełną transparentność podejmowanych działań.
- Przeprowadzamy wewnętrzną kontrolę, która ma na celu wyjaśnienie wszystkich aspektów incydentu. Poprosiliśmy także o taką analizę naszego dostawcę usług hostingu.
Jakie mogą być konsekwencje?
Dane, które zostały ujawnione mogą potencjalnie posłużyć do założenia konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej). Dane te mogą potencjalnie posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych kontaktów poprzez e-mail, SMS lub połączenia telefoniczne (tzw. spam), również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych. Wreszcie, przy wykorzystaniu dodatkowych danych może dojść do wypożyczania na wskazane dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie, czy też zaciąganie innych zobowiązań, np. dokonywanie zakupów w sieci Internet lub wyłudzanie kredytów czy też pożyczek w instytucjach pozabankowych. Z tego względu zalecamy szczególną ostrożność, zwłaszcza podczas kontaktów telefonicznych i mailowych.
Co można zrobić, aby zminimalizować lub złagodzić potencjalne negatywne skutki?
Rekomendujemy podjęcie następujących kroków:
- Zachowanie szczególnej ostrożności w przypadku otrzymywania podejrzanych wiadomości e-mail, SMS oraz połączeń telefonicznych, zwłaszcza tych zawierających linki lub prośby o dodatkowe dane.
- Unikanie podawania informacji na swój temat w szczególności poprzez rozmowy telefoniczne oraz w odpowiedzi na wiadomości e-mail/SMS.
- Monitorowanie swoich kont online pod kątem nieautoryzowanych działań.
- Zwracanie uwagi na hasła dostępu jakich używa Pani/Pan korzystając z zaspobów sieci Internet. Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Pani/Pana danych osobowych (np. nazwisk, numerów PESEL etc.).
- Zwracanie uwagi na podejrzane wiadomości mailowe, linki oraz załączniki do tych wiadomości (załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR). Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych danych osobowych.
- Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.
Jako dodatkowe działania prewencyjne, może Pani/Pan także:
- Sprawdzić swoją historię kredytową w Biurze Informacji Kredytowej.
- Sprawdzić swoje dane w Krajowym Rejestrze Długów.
- Rozważyć zastrzeżenie numeru PESEL.
W razie zauważenia podejrzanych aktywności rekomendujemy niezwłoczne zgłoszenie incydentu do odpowiednich organów (Policja, Urząd Ochrony Danych Osobowych).
Gdzie uzyskać więcej informacji?
W przypadku pytań dotyczących tego incydentu lub potrzeby dalszych wyjaśnień, wyznaczyliśmy zespół, który jako punkt kontaktowy będzie udzielał Państwu niezbędnych informacji. Kontakt z naszym zespołem możliwy jest za pośrednictwem adresu e-mail: rodo@tigre.pl.
Przepraszamy za wszelkie niedogodności, które mogły wyniknąć z tego zdarzenia. Zapewniamy jednocześnie, że dokładamy wszelkich starań, aby przetwarzane przez nas dane osobowe były chronione z najwyższą starannością, a zdarzenie o którym mowa w niniejszym piśmie stanowi jedynie jednorazowy incydent, który traktujemy bardzo poważnie.
Z wyrazami szacunku
Zespół TIGRE sp. z o.o.