Wyciek danych z OnePlus i obowiązek notyfikacyjny

W grud­niu, po ponad 4 latach codzien­ne­go boju, przy­szedł czas skie­ro­wać moje­go poczci­we­go i zasłu­żo­ne­go Nexu­sa 4 na eme­ry­tu­rę. Jako, że jestem fanem czy­ste­go Andro­ida i lubię mieć wybór to nie prze­pa­dam za nakład­ka­mi pro­du­cen­tów. Jeśli już chcę coś zmo­dy­fi­ko­wać, to wolę raczej sko­rzy­stać z Xpo­sed czy Magi­ska. Wybór zatem padł na One­Plus 5T. Krót­ko po jego zaku­pie oka­za­ło się, że ser­wis pro­du­cen­ta padła ofia­rą wycie­ku danych, kon­kret­nie nume­rów kart kre­dy­to­wych – do cze­go One­Plus ofi­cjal­nie się przy­znał.

Wczo­raj ruszy­ła akcja, w ramach któ­rej One­Plus daje moż­li­wość moni­to­ro­wa­nia swo­jej „aktyw­no­ści kre­dy­to­wej” przez rok – na koszt One­Plus. Potwier­dzo­no też tech­nicz­ne infor­ma­cje na temat wyda­rze­nia – doszło do wstrzyk­nię­cia zło­śli­we­go kodu przez nie­zna­ne­go ata­ku­ją­ce­go w stro­nę zaj­mu­ją­cą się pro­ce­sem płat­no­ści. Wycie­kły infor­ma­cje nt. pła­cą­ce­go, w tym oczy­wi­ście numer kar­ty, data jej waż­no­ści i kod CVV/CSC. Ze wzglę­du na to, że dzia­łał kod nie da się okre­ślić czy­je kon­kret­nie dane ule­gły wycie­ko­wi. Nie­mniej One­Plus ostrze­ga przed nie­bez­pie­czeń­stwem zacią­ga­nia kre­dy­tów na dane osób, któ­rych dane wyciekły.

One­Plus zre­ali­zo­wał tak­że obo­wią­zek noty­fi­ka­cyj­ny wzglę­dem odpo­wied­nich orga­nów – zgod­nie z pra­wem Hong Kon­gu. Cie­ka­we czy w One­Plus wie­dzą, że tego typu sytu­acje będą musie­li tak­że – w cią­gu 72 godzin od momen­tu stwier­dze­nia naru­sze­nia – po 25 maja tego roku noty­fi­ko­wać Pre­ze­so­wi Urzę­du Ochro­ny Danych Oso­bo­wych ;-). Jestem bar­dzo cie­kaw jak pod­mio­ty z sie­dzi­bą w tzw. pań­stwach trze­cich (poza Euro­pej­skim Obsza­rem Gospo­dar­czym) będą się sto­so­wać do prze­pi­sów RODO-GDPR. Prze­pi­sy bowiem w tej kon­kret­nej sytu­acji narzu­ca­ją okre­ślo­ne obo­wiąz­ki spół­ce będą­cej wła­ści­cie­lem OnePlus.

Abs­tra­chu­jąc od tego co się sta­ło – trze­ba One­Plus pochwa­lić za posta­wę poka­zu­ją­cą jak zacho­wy­wać się po wycie­ku. Swo­ją dro­gą trze­ba też pochwa­lić bank „T‑mobile usłu­gi ban­ko­we dostar­cza­ne przez Alior Bank”, któ­ry zablo­ko­wał moją kar­tę w euro i bar­dzo szyb­ko (kil­ka godzin po tym, gdy ujaw­nio­no wyciek) i zadzwo­nił z pro­po­zy­cją bez­płat­ne­go wyro­bie­nia nowej.

Poni­żej wia­do­mość, któ­rą dosta­łem od OnePlus:

The One­Plus Team
18F Tairan Buil­ding, Block C, Tairan 8th Road
Che­gong­miao, Futian District
Shen­zhen, Guang­dong 518040 China

Febru­ary 12, 2018

Dear Kon­rad Mazur,

We were recen­tly invo­lved in a secu­ri­ty inci­dent poten­tial­ly affec­ting per­so­nal infor­ma­tion rela­ting to you. This noti­ce descri­bes what we know so far, steps we have taken in respon­se to the inci­dent, and actions you may wish to take to pro­tect yourself.

We are wor­king to pro­vi­de poten­tial­ly affec­ted custo­mers a year of free cre­dit moni­to­ring, whe­re it’s ava­ila­ble. This servi­ce means you can quic­kly and easi­ly check as well as rece­ive alerts abo­ut any chan­ges to your cre­dit histo­ry. Ple­ase regi­ster your inte­rest via the fol­lo­wing link: https://​one​plus​.net/​c​l​aim.

What Hap­pe­ned

On Janu­ary 11, 2018, we were noti­fied of seve­ral cre­dit card fraud cases possi­bly rela­ted to pur­cha­ses made at One​Plus​.net. We promp­tly took steps to inve­sti­ga­te the situ­ation, and ulti­ma­te­ly deter­mi­ned that an unk­nown attac­ker had injec­ted a mali­cio­us script into the pay­ment pro­ces­sing page of our websi­te to inter­mit­ten­tly cap­tu­re cre­dit card infor­ma­tion as it was being ente­red. We imme­dia­te­ly quaran­ti­ned the affec­ted server, rein­for­ced our sys­tems, and disa­bled cre­dit card pay­ments for good measure.

What Infor­ma­tion Was Involved

We belie­ve that per­so­nal infor­ma­tion rela­ting to you, inc­lu­ding your credit/debit card num­ber, credit/debit card expi­ra­tion date, and CVV/CSC num­ber, may have been com­pro­mi­sed during the inci­dent. As noted abo­ve, the mali­cio­us script appe­ars to have only inter­mit­ten­tly cap­tu­red custo­mer infor­ma­tion, so we can­not con­firm that your data was com­pro­mi­sed. Howe­ver, out of an abun­dan­ce of cau­tion, we are pro­vi­ding this noti­ce to all custo­mers that sub­mit­ted the­ir cre­dit card data on our onli­ne sto­re during the win­dow of time in which the mali­cio­us script is belie­ved to have been active.

What We Are Doing

Your pri­va­cy and data secu­ri­ty are extre­me­ly impor­tant to us. We regu­lar­ly review and enhan­ce the One­Plus IT and cyber­se­cu­ri­ty sys­tems and pro­ces­ses. In addi­tion to inve­sti­ga­ting the inci­dent, we have enga­ged an expert cyber­se­cu­ri­ty firm to assist with rein­for­cing the secu­ri­ty of our sys­tems. We also tho­ro­ugh­ly revie­wed and con­fir­med the secu­ri­ty of the affec­ted webpa­ge befo­re rein­sta­ting cre­dit card pay­ments for our websi­te. We have also repor­ted the inci­dent to Hong Kong law enforcement.

We are also taking steps to noti­fy each indi­vi­du­al who­se per­so­nal infor­ma­tion was poten­tial­ly affec­ted by this inci­dent. We will con­ti­nue to take appro­pria­te steps to mini­mi­ze the risk of futu­re cyber­se­cu­ri­ty incidents.

What You Can Do

As a gene­ral rule, we recom­mend that you rema­in vigi­lant abo­ut your per­so­nal infor­ma­tion by regu­lar­ly revie­wing your finan­cial acco­unt sta­te­ments and perio­di­cal­ly chec­king your cre­dit report. Review the reports care­ful­ly for inqu­iries from com­pa­nies you did not con­tact, acco­unts you did not open, and debts that you can­not expla­in. Veri­fy the accu­ra­cy of your com­ple­te name, iden­ti­fi­ca­tion num­ber, address(es), and employer(s).

You may wish to add a fraud alert to your cre­dit report file to make it more dif­fi­cult for some­one to get cre­dit in your name. A fraud alert is a con­su­mer sta­te­ment added to your cre­dit report. This sta­te­ment alerts cre­di­tors of possi­ble frau­du­lent acti­vi­ty within your report as well as requ­ests that they con­tact you prior to esta­bli­shing any acco­unts in your name. Once the fraud alert is added to your cre­dit report, all cre­di­tors sho­uld con­tact you prior to esta­bli­shing any acco­unt in your name.

You may also add a secu­ri­ty fre­eze to your cre­dit report file to pro­hi­bit a cre­dit repor­ting agen­cy from rele­asing infor­ma­tion from your cre­dit report witho­ut your prior writ­ten autho­ri­za­tion. To pla­ce a secu­ri­ty fre­eze (also known as a “cre­dit fre­eze”), con­tact the three cre­dit repor­ting agen­cies at the con­tact infor­ma­tion pro­vi­ded abo­ve. Unli­ke a fraud alert, you must sepa­ra­te­ly pla­ce a cre­dit fre­eze on your cre­dit file at each cre­dit repor­ting agen­cy. Ple­ase be awa­re that using a secu­ri­ty fre­eze may inter­fe­re with or delay your abi­li­ty to obta­in cre­dit. You may also incur fees to pla­ce, lift, and/or remo­ve a secu­ri­ty freeze.

Be vigi­lant aga­inst phi­shing attacks. Some cri­mi­nals may use your per­so­nal infor­ma­tion to con­tact you posing as a repu­ta­ble sour­ce to try and trick you into pro­vi­ding con­fi­den­tial infor­ma­tion (com­mon­ly cal­led “phi­shing”). For exam­ple, they might call you or ema­il you pre­ten­ding to be a tru­sted par­ty and ask you to con­firm sen­si­ti­ve per­so­nal infor­ma­tion, such as your social secu­ri­ty num­ber or finan­cial acco­unt infor­ma­tion. Ple­ase know that we will never ask you to con­firm any sen­si­ti­ve per­so­nal infor­ma­tion by ema­il or over an unso­li­ci­ted pho­ne call. If you do hap­pen to be con­tac­ted with such a requ­est, it is not from One­Plus, and you sho­uld not pro­vi­de any per­so­nal information.

We tru­ly regret any inco­nve­nien­ce this inci­dent cau­ses you. If you have any questions, ple­ase con­tact us using the con­tact infor­ma­tion pro­vi­ded below.

Sin­ce­re­ly,
The One­Plus Team