Przez swój błąd duży operator ujawnił numery klientów osobom postronnym. O sprawie został już powiadomiony Urząd Ochrony Danych Osobowych.
Duży operator popełnił błąd, przez który ujawnił numery telefonów klientów osobom postronnym
Od prawie trzech lat korzystam z usług telefonii komórkowej Vectry, która opiera je na zasięgu sieci Play. W miniony wtorek otrzymałem wiadomość e-mail, zatytułowaną KOMUNIKAT O OBNIŻCE CEN USŁUG ROAMINGOWYCH OD DNIA 15 MAJA 2025 R. Początkowo ją zignorowałem, ponieważ wiedziałem, że wszyscy operatorzy zwiększają limit danych w roamingu w Unii Europejskiej.
Po jakimś czasie z ciekawości rzuciłem jednak okiem na tę wiadomość e-mail. Znajduje się w niej sekcja, w której podany jest numer telefonu wraz z nowym limitem danych w roamingu w Unii Europejskiej. Ku swojemu zaskoczeniu zorientowałem się, że podany numer nie należy do mnie.
Później zwróciłem też uwagę na zaskakująco duży limit danych w roamingu w Unii Europejskiej. Posiadam bowiem taryfę z limitem 10 GB w kraju, zatem niemożliwością jest, abym po zmianach miał do wykorzystania w roamingu w Unii Europejskiej więcej internetu niż w Polsce.
Postanowiłem więc zadzwonić na infolinię Vectry, żeby zapytać, czy zawarty w wiadomości należy do innego klienta, ponieważ chciałem potwierdzić, że doszło do naruszenia danych. Gdy już udało mi się „przebić” przez wirtualną asystentkę, żywy konsultant potwierdził, że numer, który znalazł się w wiadomości do mnie, należy do innego klienta i wkrótce otrzymam skorygowaną wiadomość.
Jak zareagowała Vectra?
Ujawnienie cudzego numeru telefonu jest złamaniem RODO, dlatego od razu skontaktowałem się z biurem prasowym Vectry. Czekając na odpowiedź, dowiedziałem się, że mój kolega z redakcji, który również korzysta z usług telefonii komórkowej w tej firmie, także otrzymał wiadomość z nieswoim numerem telefonu i błędnym, nowym limitem w roamingu w UE (u niego był nawet mniejszy niż miał wcześniej).
W przesłanej do naszej redakcji Vectra potwierdziła, że doszło do błędu:
Informujemy, że w wiadomościach e-mail dotyczących zmian w dokumentacji abonenckiej, wysyłanych do naszych Klientów w dniach 13-14.05.2025 r., doszło do nieprawidłowego przypisania numerów telefonów. W rezultacie część Klientów korzystających z usługi telefonii komórkowej otrzymała wiadomość zawierającą numer telefonu, który nie należy do nich. Przepraszamy za ten niezamierzony błąd oraz wszelkie niedogodności nim spowodowane.
Vectra poinformowała również Urząd Ochrony Danych Osobowych o tym zdarzeniu. Jedocześnie firma zapewnia, że naruszenie danych ograniczyło się do numerów telefonów:
Jako firma traktujemy bezpieczeństwo danych naszych Klientów z najwyższą powagą. W związku z tym incydent natychmiast zgłosiliśmy do Urzędu Ochrony Danych Osobowych, zgodnie z obowiązującymi przepisami. Co istotne, nie doszło do ujawnienia innych danych osobowych poza jednostkowymi numerami telefonów. Pragniemy podkreślić, że wszystkie dane naszych Klientów są bezpieczne.
Zgodnie z deklaracją konsultanta, z którym rozmawiałem wczoraj, otrzymałem dziś wiadomość z poprawnym numerem telefonu i limitem danych w roamingu w Unii Europejskiej (10 GB, czyli tyle, ile mam do dyspozycji w kraju). W nowej wiadomości Vectra prosi też o usunięcie poprzedniej wiadomości.
Mój kolega – również klient Vectry, także w końcu (kilka godzin później) otrzymał wiadomość korygującą od operatora.
Czy doszło do wycieku danych klientów Vectry?
Opisywanej sytuacji raczej nie można nazwać wyciekiem, ponieważ z takimi mamy do czynienia wtedy, gdy do systemów firmy włamie się haker, łamiąc jej zabezpieczenia. Tutaj doszło do pomyłki, która nie powinna być brzemienna w skutkach.
Raczej trudno bowiem spodziewać się, że osoba, która poznała numer innego klienta, wykorzysta go w niecnych celach czy sprzeda hakerom, ponieważ nawet bazy, zawierające dziesiątki czy setki tysięcy rekordów z bardziej szczegółowymi danymi, są dostępne w dark necie w dość niskich cenach. Pojedynczy numer ma znikomą wartość i ktoś musiałby być wyjątkowo złośliwy, żeby po prostu nie zignorować tego incydentu.
Mimo wszystko Vectra popełniła karygodny błąd, do którego nigdy nie powinno dojść. Ciekawy też jestem, czy gdyby nie moja interwencja na infolinii i w biurze prasowym firmy, sytuacja ta zostałaby przemilczana. Podejrzewam, że większość osób – podobnie jak ja na początku oraz mój redakcyjny kolega – przeszła obojętnie obok tej wiadomości i mogła nawet nie zauważyć pomyłki operatora. Niewykluczone, że nawet sama Vectra nie była jej świadoma, zanim ja zwróciłem na nią uwagę.
