Od: Aleeko.pl (komunikat_rodo@aleeko.pl)
Szanowni Klienci,
Prosimy o zapoznanie się z informacją na temat ataku hakerów na nasze serwery, który miał miejsce 20 września br.
KOMUNIKAT WS. NARUSZENIA OCHRONY DANYCH OSOBOWYCH
I. Co się stało?
W dniu 20 września 2020 r., spółka Bio Polska sp. z o.o., z siedzibą w Andrespolu (dalej „Spółka”) prowadząca sklep internetowy aleeko.pl, padła ofiarą ataku hakerskiego na swoje serwery w zakresie, który umożliwiał dostęp do następujących danych: nazwa podmiotu, adres podmiotu, NIP podmiotu, REGON podmiotu, Pesel, imię i nazwisko osób kontaktowych, numer telefonu, adres e-mail oraz informacje nt. transakcji. Spółka cały czas bada, czy pozostałe dane Spółki nie zostały zaatakowane. Spółka podejmuje wszelkie starania mające na celu zminimalizowanie skutków zdarzenia ( zawiadomiono organy ścigania oraz poinformowano UODO ) i ryzyka wystąpienia podobnych zdarzeń w przyszłości, jak też przywrócenia normalnego funkcjonowania przedsiębiorstwa, w tym możliwości realizacji zamówień.
II. Jakie mogą być konsekwencje naruszenia ochrony danych osobowych?
Następstwem naruszenia Pana/i danych osobowych może być w szczególności:
podszycie się pod Pana/Pana z wykorzystaniem pozyskanych danych osobowych - Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości
podjęcie przez osoby trzecie mogą próby próbę uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
podjęcie przez osoby trzecie próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskanie wglądu do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL;
wykorzystanie Pani/Pana danych osobowych np. do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego tym samym skorzystanie z Pani/Pana praw obywatelskich;
wykorzystanie Pani/Pana danych osobowych przez osobę trzecią do próby wyłudzenia ubezpieczenia;
podjęcie próby zawarcia na Pani/Pana szkodę umów cywilno-prawnych przez osoby trzecie;
III. Jakie środki podjęła Spółka w celu zaradzenia naruszeniu ochrony danych osobowych?
Środki podjęte przez Spółkę:
• dostęp do każdego z naszych programów jest zabezpieczony silnym hasłem,
• w Spółce stosowany jest firewall,
• kopia zapasowa danych wykonywana jest codziennie,
• komputery chronione są programem antywirusowym, który jest regularnie aktualizowany,
• korzystamy wyłącznie z legalnego oprogramowania, które na bieżąco aktualizujemy,
• regularnie wykonujemy przeglądy kontrolne, serwis sprzętu, urządzeń i oprogramowania,
• w związku z zaistniałym zdarzeniem, zablokowaliśmy nieuprawniony dostęp do naszych serwerów,
• podjęliśmy również działania mające na celu odzyskanie dostępu do Pana/i danych osobowych (przy pomocy zapisanej kopii zapasowej – backupu danych na serwerze),
• naruszenie ochrony danych zgłosiliśmy Prezesowi UODO,
• zdarzenie zgłosiliśmy również organom ścigania.
Środki planowane przez Spółkę:
• zamierzamy wdrożyć procedury mające na celu zapewnienie jeszcze wyższego poziomu bezpieczeństwa informatycznego, weryfikujemy systemy dostępu i uwierzytelniania oraz poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu, zamierzamy wprowadzić monitorowanie aktywności użytkowników
IV. Co może Pan/i zrobić?
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby Pan/i:
• zachował/a ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów,
• ignorował/a nieoczekiwane wiadomości e-mail lub SMS, w szczególności od nieznanych nadawców oraz nie otwierał/a nieznanych załączników,
• nie używał/a linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail lub SMS-ach,
• zachował/a ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
• założył/a konto w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem.
Jeśli dowie się Pan/i o wykorzystaniu Pana/i danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji.
V. Gdzie może Pan/i uzyskać więcej informacji?
Jeżeli ma Pan/i jakiekolwiek pytania lub chciałby/aby nam Pan/i przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z działającym z ramienia Spółki Panem Maciejem Głowackim pod adresem mailowym: komunikat_rodo@aleeko.pl
VI. Informacje dodatkowe
Spółka dokłada najwyższej staranności, aby Pana/i dane osobowe były przetwarzane w sposób gwarantujący ich bezpieczeństwo. Podjęliśmy starania, aby skutki naruszenia były dla Pana/i jak najmniej odczuwalne. Podjęliśmy również czynności minimalizujące ryzyko wystąpienia podobnych zdarzeń w przyszłości. Zapewniamy, że przedmiotowe zdarzenie miało charakter incydentalny i nie wynikało z jakichkolwiek zaniedbań po stronie Spółki.