W dniu 21 kwietnia 2023r. Zakład Wodociągów i Kanalizacji Sp. z o.o. otrzymał informację od firmy Vercom S.A. (Serwer SMS.pl System Obsługi Marketingu Mobilnego) obsługującej nasz system obsługi marketingu mobilnego – SMS-owego powiadamiania, że w dniu 19 kwietnia 2023r. miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych bilingowych niektórych naszych klientów.
Firma Vercom S.A. (Serwer SMS.pl System Obsługi Marketingu Mobilnego) podjęła natychmiastowe działania prewencyjne oraz poinformowała o zdarzeniu odpowiednie służby, w szczególności policję oraz Urząd Ochrony Danych Osobowych.
OBECNIE SYSTEM JEST W PEŁNI BEZPIECZNY
Ponieważ jednak przestępcy zdążyli uzyskać dostęp do fragmentu bazy danych:
wysłanych powiadomień o wystawionej fakturze, wszyscy klienci których incydent dotyczy otrzymają jeszcze dziś szczegółowe informacje pocztą elektroniczną.
Jeżeli nie dostałeś informacji na e-mail, KOMUNIKAT PAŃSTWA nie dotyczy!!!

INFORMACJA O NARUSZENIU
OCHRONY DANYCH OSOBOWYCH

Szanowni Państwo.

Zakład Wodociągów i Kanalizacji Sp. z o.o., ul. Stefana Batorego 68, 34-120 Andrychów (dalej ZWiK Andrychów), jako Administrator danych osobowych przetwarzanych w związku ze świadczonymi przez nas usługami chcieliśmy z przykrością poinformować, o naruszeniu ochrony danych osobowych dotyczących klientów Spółki, zgodnie z poniższym zakresem informacji:

Opis charakteru naruszenia:

W dniu 19 kwietnia 2023 roku u dostawcy usługi SMS-owego informowania o wystawieniu faktury (Vercom S.A. – Serwer SMS.pl System Obsługi Marketingu Mobilnego) doszło do ataku hackerskiego polegającego na uzyskaniu nieautoryzowanego dostępu (utrata poufności) do części danych bilingowych naszych klientów.
Pomimo szybkiej reakcji dostawcy usługi przez krótki okres był możliwy dostęp do danych osobowych zawierających: numer telefonu, skrót ZWIK oraz numer faktury.
Wg. Informacji jakie otrzymaliśmy w dniu 21.04.2023 roku nie zostały ujawnione żadne inne dane osobowe naszych klientów.

WAŻNE: ZWIK Andrychów nie przesyła wiadomości SMS zawierających odnośniki (linki) do stron, plików, systemu bankowego.
Chcemy zapewnić, że wspólnie z dostawcą usługi podejmujemy wszelkie możliwe kroki,  aby zminimalizować skutki tego incydentu oraz zapobiec podobnym sytuacjom w przyszłości.

Działania podjęte przez ZWiK Andrychów:

Niezwłocznie po stwierdzeniu nieautoryzowanego dostępu do danych usługodawca podjął następujące działania:

• zostało zmienione hasło dostępowe do konta użytkownika ZWiK Andrychów,
• wprowadzono możliwość logowania się tylko z autoryzowanych adresów IP,
• zabezpieczono klucze API,
• zresetowano dostępy do całej infrastruktury związanej z systemem wysyłki SMS-ów,
• wdrożono dodatkowe algorytmy zabezpieczające.

Naruszenie ochrony danych osobowych zostało zgłoszone na Policję oraz do Prezesa Urzędu Ochrony Danych Osobowych.

Podjęte zostały działania mające na celu zidentyfikowanie wszystkich osób, których dane osobowe (numer telefonu) mogły zostać ujawnione, a do osób tych została wysłana wiadomość mailowa. Dodatkowo na stronie internetowej został umieszczony komunikat o zaistniałym zdarzeniu.

Możliwe konsekwencje naruszenia:

Na chwilę obecną nie posiadamy żadnych informacji jaka grupa faktycznie naszych klientów jest narażona na potencjalne działania ze strony przestępców, ponieważ uzyskanie dostępu do danych nie jest tożsame z ich skopiowaniem.

Traktujemy wszystkich naszych Klientów do których danych uzyskano nieautoryzowany dostęp jako potencjalnie narażonych na działania mogące mieć między innymi następujące konsekwencje:

• próba podszycia się pod ZWiK Andrychów w celu pozyskania dodatkowych danych osobowych,
• próba podszycia się pod firmy kurierskie, banki, urzędy skarbowe, policję, komorników, pocztę itp. w celu przejęcia dostępu do konta bankowego, wypłatę pieniędzy z bankomatu, przekazanie pieniędzy, dokonania zakupów na Państwa konto.

Poddanie się presji przestępców, hackerów może skutkować poważnymi stratami finansowymi.

Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu:

Sugerujemy zachować szczególną ostrożność i:

• nie otwierać załączników, linków przesyłanych przez SMS,
• podejrzane komunikaty SMS potwierdzać kontaktując się przez dane teleadresowe dostępne jedynie na oficjalnej stronie nadawcy wiadomości,
• w przypadku podejrzanej wiadomości przesłać ją do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CERT.PL), ewentualnie zgłosić za pomocą formularza znajdującego się pod adresem: https://incydent.cert.pl/#!/lang=pl
• nie podawać dzwoniącym pod numer telefoniczny osobom podającym się za pracowników banków, instytucji (policja, prokuratura, komornik itp.), organizacji żadnych danych dotyczących, spraw majątkowych, finansów, operacji bankowych konta bankowego, haseł dostępowych, numerów kart bankowych, pinów itp.,
• w przypadku jakichkolwiek wątpliwości przerwać połączenie telefoniczne i zadzwonić do organizacji na jaką powoływał się dzwoniący pod numer dostępny na oficjalnej stronie internetowej.

Proszę pamiętać, że, policja, banki nigdy nie żądają haseł, nie oczekują przekazania pieniędzy funkcjonariuszowi. Przy próbie nakłonienia do przekazania gotówki natychmiast proszę przerwać połączenie i zadzwonić na numer alarmowy policji.

Gdzie możecie Państwo uzyskać więcej informacji:

W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z:
Inspektorem Ochrony Danych Panem Dariuszem Kopacz:
Zakład Wodociągów i Kanalizacji Sp. z o.o., ul. Stefana Batorego 68, 34-120 Andrychów,
lub pisząc na adres e-mail: iod@zwikandrychow.pl ,
lub dzwoniąc pod numerem telefonu 883 993 035.
Informacje na temat zdarzenia można również uzyskać dzwoniąc pod numery:
33 875 26 55 lub 33 875 23 08

Przepraszamy za wszelkie niedogodności, które budzą Państwa niepokój.