Dane klientów Taurona przez miesiąc mógł pobrać każdy, ale włamania nie było
Tauron ma sporo za uszami. Okazuje się, że na jego serwery nikt się nie musiał włamywać, bo dane klientów, w tym nagrania rozmów, były dostępne publicznie. I to u podwykonawcy.
W weekend informowaliśmy, że do sieci trafiły prywatne dane klientów firmy Tauron. Adresy i numery PESEL atakujący mogli przechwycić za sprawą nagrań rozmów z biurem obsługi klienta firmy. Można było rozsądnie założyć, że w celu ich pozyskania przełamali zabezpieczenia. Okazuje się jednak, że nic z tych rzeczy, a serwerów firmy obsługującej call center wcale nie przejęto siłą.
Tauron sam udostępniał dane klientów wszystkim chętnym
Jestem oczywiście przekonany, że firma nie robiła tego świadomie, ale w wyniku niekompetencji jej pracowników dane klientów trafiły w niepowołane ręce. Tajemniczy jegomość podający się za osobę odpowiedzialną za ten wyciek danych wyjaśnił, że wcale nie musiał się włamywać na serwery firmy. Edison, gdyż tak podpisano rzekomego hakera, stoi na stanowisku, iż programiści Tauronu nie zabezpieczyli przechowywanych przez siebie plików w żaden sposób.
Edison dodatkowo twierdzi, iż dane z serwerów podwykonawcy Taurona pobrał… w odwecie na próbę ataku przeprowadzonego przez programistów firmy, a w dodatku był wtedy pod wpływem alkoholu, co go najwyraźniej ośmieliło. Po tym, jak zorientował się, jakie pliki znalazły się w jego posiadaniu, postanowił zachować je dla siebie, ale sprawę opisał ze swojej perspektywy, aby utrzeć nosa przedsiębiorstwu, które informowało o „włamaniu”, którego — podobno — wcale nie było.
Przedstawiciele firmy Tauron po zgłoszeniu luki rzekomo wyśmiali niejakiego Edisona i nazwali go osobą chorą psychicznie.
Cała historia brzmi mocno nieprawdopodobnie, ale jak to mówią — życie pisze najlepsze scenariusze. Oczywiście tego, czy tak było naprawdę, pewnie nigdy się nie dowiemy, ale sprawę opisała redakcja serwisu Niebezpiecznik, która przekonuje, iż Edison dysponuje autentycznymi nagraniami z call center Taurona, a w dodatku udało się jej potwierdzić, że serwer, z którego je pobrano, faktycznie nie był odpowiednio zabezpieczony — katalogi z plikami MP3, w których klienci podawali np. numery PESEL i adresy, były widoczne dla każdego.
Oczywiście fakt, że dane nie były odpowiednio zabezpieczone, nie oznacza, że każdy może sobie nimi dowolnie dysponować — tak samo jak otwarte drzwi do cudzego mieszkania nie są zaproszeniem do wyniesienia z niego telewizora. Mimo to od firmy takiej jak Tauron można byłoby oczekiwać zabezpieczenia danych klientów, w tym plików MP3 ze wspomnianymi nagraniami rozmów. Jej przedstawiciele zrzucają jednak odpowiedzialność na „dwie firmy partnerskie”, aczkolwiek zapowiedzieli, że przeprowadzą audyt.
Jeśli chodzi o klientów i to, czy powinni się obawiać, to pewnym pocieszeniem jest fakt, iż ten incydent nie był typowym włamaniem, a haker najwyraźniej uznał, że ich dane skasuje. Pamiętajmy jednak, że nie powinniśmy wierzyć mu na słowo, a do tego dostęp do danych na serwerach Taurona mogły mieć również inne osoby. Pliki z nagraniami nie były zabezpieczone przez co najmniej miesiąc od 29 czerwca do 27 lipca 2021 r.
*Foto główne: Postmodern Studio / Shutterstock