Totolotek padł ofiarą hakerów. Przestępcy ukradli dane osobowe klientów
Hakerzy wzięli na cel popularną firmę bukmacherską Totolotek i przeprowadzili na nią udany atak typu ransomware. W ręce przestępców trafiły wszystkie poufne dane o klientach przedsiębiorstwa. W tym przypadku zamiast o wycieku, można już mówić o całej powodzi.
Sprawa nie jest zupełnie świeża, bo atak hakerów na Totolotka odbył się 30 września, czyli miesiąc temu. Jednak dopiero teraz zdarzenie ujrzało światło dzienne. Przedsiębiorstwo wystosowało komunikat do swoich klientów, w którym informuje o zaistniałej sytuacji. Oczywiście pozostaje pytanie, dlaczego firma tak długo z tym zwlekała? Przestępcy już od miesiąca mogą używać danych nieświadomych klientów przedsiębiorstwa.
Niepokojące jest też to, jakie dokładnie dane trafił w ręce hakerów. Przestępcy są w posiadaniu nie tylko loginów i adresów email użytkowników Totolotka, lecz również numerów telefonu i PESEL, numerów dowodów tożsamości i adresów zamieszkania. Posiadając takie dane bez problemu można skraść komuś tożsamość, wyłudzić pożyczki, wyrobić duplikaty karty SIM i narobić wielu innych szkód. Tym bardziej dziwi taka opieszałość Totolotka w poinformowaniu swoich klientów o zaistniałej sytuacji.
[…] nie możemy wykluczyć, że Pani/Pana dane osobowe mogą być wykorzystane przez nieuprawnione osoby. Dane te mogą zostać użyte do (przykładowo) założenia konta w systemie informacji kredytowej, aby monitorować Pani/Pana aktywność kredytową, zaciągnięcia zobowiązań finansowych w instytucjach poza bankowych, założenia konta w serwisie społecznościowym, kierowania do Pani/Pana niezamówionych informacji handlowych drogą pocztową lub za pomocą poczty email. Jest nam bardzo przykro z powodu tego zdarzenia. Chcielibyśmy podkreślić, że podjęliśmy przewidziane prawem kroki i powiadomiliśmy o tym zdarzeniu właściwe instytucje – w tym organy ścigania oraz Urząd Ochrony Danych Osobowych.
Możliwe, że te dane nie zostały jeszcze w żaden sposób wykorzystane przez hakerów. Bardzo prawdopodobny wydaje się być scenariusz, że jest to atak typu ransomware. Oznaczałoby to, że przestępcy “porywają" dane i chcą okupu w zamian za ich zwrot. Totolotek od razu poinformował o zdarzeniu policję i Urząd Ochrony Danych Osobowych, lecz niewiele wiadomo o postępowaniu. Kradzież dotyczy tylko i wyłącznie danych firmy sprzed 22 lipca 2019 roku. Przedsiębiorstwo zapewnia, że atak w żaden sposób nie wpłynął na bieżące działania Totolotka.
Nie mogą się czuć bezpiecznie nawet byli klienci firmy, którzy przed lipcem 2019 roku złożyli podanie o usunięcie konta wraz ze wszystkimi danymi. Użytkownicy Twittera wskazują, że komunikat Totolotka dostały nawet osoby, które już dawno temu usunęły konto na platformie.
