Ważny Komunikat
5 września 2024 r.
A.B. Berren-Handlowy Sp. z o.o.:
ul. Ogrodowa 22
Michałowice-Reguły (05-816)
Sąd Rejonowy dla m.st. Warszawy w Warszawie
XIV Wydział Gospodarczy Krajowego Rejestru Sądowego
KRS: 0000177786, NIP: 534-21-29-900
Informacja dotycząca naruszenia danych osobowych
Szanowna Pani / Szanowny Panie,
W imieniu A.B. Berren-Handlowy sp. z o.o., ul. Ogrodowa 22, Michałowice-Reguły 05-816
(dalej „spółka”, „administrator” lub „my”), informuję o potencjalnym naruszeniu ochrony
Pani/Pana danych osobowych.
Naruszenie to wynikało z nieuprawnionego dostępu do danych osobowych i dokumentów
znajdujących się w koncie poczty e-mail Prezes Zarządu naszej firmy przez nieznane osoby
lub podmioty. Dostęp do zasobów pocztowych był możliwy w wyniku ataku phishingowego,
skierowanego na Prezes Zarządu, którego celem była kradzież środków finansowych.
Nasz zespół IT wraz z prawnikami, specjalistami z zakresu ochrony danych osobowych
i bezpieczeństwa natychmiast podjął działania, aby zminimalizować ewentualne skutki
tego zdarzenia.
Choć nie posiadamy dowodów na to, że Pani/Pana dane osobowe zostały pobrane lub
wykorzystane, podjęliśmy dodatkowe środki ostrożności.
Przesyłamy Pani/Panu niniejsze zawiadomienie o potencjalnym naruszeniu ochrony
danych osobowych by ochronić Panią/Pana przed negatywnymi skutkami tego zdarzenia.
Rozumiemy, że może to budzić niepokój, ale chcemy zapewnić, że dokładamy wszelkich
starań, aby odpowiednio zarządzać sytuacją i chronić Pani/Pana dane osobowe.
Opis naruszenia:
Zdarzenie zostało ujawnione przez nas 2 września 2024 roku, około godziny 12:00. Tego
dnia z Prezes Zarządu skontaktował się telefonicznie przedstawiciel naszego wieloletniego
kontrahenta (dalej jako "kontrahent"), aby zweryfikować, czy dokonaliśmy płatności za
faktury, ponieważ kontrahent nie otrzymał należnych środków.
Zarząd Spółki niezwłocznie przystąpił do analizy zdarzenia z zespołem IT, prawnikami
i specjalistami ds. ochrony danych osobowych i bezpieczeństwa. Zakończona około godz.
16:42, 02 września 2024 roku, analiza wykazała, że Prezes Zarządu stała się celem
skutecznego ataku phishingowego, w wyniku którego osoba lub osoby nieuprawnione
uzyskały dane uwierzytelniające do jej konta poczty e-mail. Następnie, posługując się
specjalnie przygotowanymi domenami skrzynek pocztowych oraz informacjami
o administratorze i kontrahencie, przejęły kontrolę nad wymianą rutynowej
korespondencji dotyczącej zamówienia. Osoby te przygotowały wiadomość e-mail
dotyczącą zmiany numeru rachunku bankowego, tak aby wyglądała na pochodzącą od
kontrahenta oraz przechwytywały i preparowały korespondencję z kontrahentem,
wykorzystując przy tym logotyp kontrahenta, łudząco podobną domenę z przestawionymi
znakami (@berern.pl) oraz firmową stopkę.
Stan zagrożenia dla Pani/Pana danych osobowych trwał zatem od 16 lipca 2024 r. do 02
września 2024 roku, do ok. godz. 16:42,
Wszystkie okoliczności analizy zdarzenia wskazują, że celem działania osób
nieuprawnionych była kradzież środków finansowych naszej Spółki. Nie możemy jednak
wykluczyć, że w wyniku dostępu osób nieuprawnionych do skrzynki e-mail Prezes Zarządu
poprzez protokół komunikacyjny IMAP umożliwiający wyświetlanie zakresu informacji
w postaci wierszy pocztowych nie mogło dojść do ujawnienia danych osobowych klientów,
kontrahentów, pracowników, innych (najemców, zleceniobiorców), zawartych w różnych
dokumentach będących załącznikami do wiadomości, pomimo, iż cześć z nich była
zaszyfrowana i chroniona hasłem jak np. dokumenty PIT, ZUS. Ze względu na użyty przez
osoby nieuprawnione protokół IMAP nie możemy określić czy nie dokonano pobrania
zawartości skrzynki pocztowej w tym Pani/Pana danych osobowych wraz innymi
informacjami.
Zakres tych danych, w zależności od łączących nas relacji (klient, kontrahent, dostawca,
najemca, zleceniobiorca) i przekazywanych nam informacji w toku naszej współpracy
może obejmować część lub wszystkie następujące dane osobowe: nazwiska i imiona, imiona
rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub
pobytu oraz adresy prowadzonej działalności, PESEL, adresy e-mail, serie i numery
dowodów osobistych, numery telefonów, wizerunek, stanowisko lub funkcja, dane
rejestrowe podmiotu z który Państwo reprezentują lub z którym są Państwo powiązani
(NIP, REGON, KRS) oraz inne poufne informacje objęte treścią korespondencji (informacje
handlowe, marketingowe, sprzedażowe, finansowe, know-how).
Możliwe konsekwencje naruszenia:
Przekazujemy informacje o możliwych konsekwencjach, które mogą wyniknąć z nieuprawnionego dostępu do Pani/Pana danych:
- Nieuprawnione wykorzystanie - Osoby trzecie mogą posłużyć się Pani/Pana danymi osobowymi w sposób, na który Pani/Pan nie wyraziła(-ł) zgody. Może to obejmować nieautoryzowane działania na Pani/Pana szkodę. Osoby te mogą redagować do Pani/Pana korespondencję przypominającą lub łudząco podobną do Pani/Pana klientów, kontrahentów, partnerów w tym naszej Spółki.
- Ujawnienie danych w mediach społecznościowych i sieci Derknet – W wyniku ujawnienia danych istnieje ryzyko, że informacje te mogą zostać publicznie dostępne, co może negatywnie wpłynąć na Pani/Pana reputację. Mogą być one również przedmiotem transakcji w "Darknet" (lub "dark web") czyli ukrytej części Internetu, która nie jest dostępna przez standardowe przeglądarki i wyszukiwarki. Darknet zapewnia użytkownikom wysoki poziom anonimowości, co przyciąga zarówno osoby, które angażują się w nielegalne działania.
- Niechciane przetwarzanie w celach marketingowych – Pani/Pana adres e-mail oraz inne dane mogą zostać użyte do przesyłania niechcianych ofert marketingowych bez Pani/Pana zgody.
- Uzyskanie kredytów lub pożyczek na Pani/Pana dane osobowe – Osoby trzecie mogą wykorzystać Pani/Pana dane, takie jak PESEL, nr dowodu osobistego czy inne dane do wyłudzenia kredytów lub pożyczek. Dotyczy to zarówno instytucji bankowych, jak i pozabankowych, które często umożliwiają zaciąganie zobowiązań na podstawie podstawowych danych osobowych, bez potrzeby okazywania dowodu tożsamości.
- Kradzież tożsamości – Oszuści mogą podszyć się pod Panią/Pana, np. wyrażając opinie w Pani/Pana imieniu w mediach społecznościowych, co może naruszyć Pani/Pana dobre imię i reputację.
- Dostęp do świadczeń zdrowotnych i danych o stanie zdrowia – Dostęp do systemów rejestracji pacjentów, który wymaga jedynie podania numeru PESEL, może pozwolić osobom trzecim na dostęp do Pani/Pana danych medycznych. Może to prowadzić do nieuprawnionego wykorzystania tych informacji oraz do dyskryminacji.
- Wykorzystanie Pani/Pana danych osobowych do głosowania – Pani/Pana dane mogą zostać użyte do głosowania w budżecie obywatelskim lub innych procesach, które wymagają weryfikacji tożsamości poprzez PESEL.
- Zawieranie umów na Pani/Pana dane osobowe – Osoby trzecie mogą wykorzystać Pani/Pana dane do zawarcia umów na różnego rodzaju usługi, takie jak telewizja, telefon, czy Internet, co może prowadzić do zadłużenia.
- Wyłudzenie ubezpieczeń – Dane mogą być wykorzystane do wyłudzenia świadczeń ubezpieczeniowych, co może skutkować problemami związanymi z przypisaniem Pani/Panu odpowiedzialności za oszustwa.
- Rejestracja kart prepaid – Pani/Pana dane mogą zostać użyte do rejestracji kart prepaid, które mogą zostać wykorzystane do działań przestępczych.
W przypadku, gdyby doszło do prób wykorzystania Pani/Pana danych w sposób opisany
powyżej, szczególnie w kontekście kradzieży tożsamości, zalecamy natychmiastowe
zgłoszenie takiej sytuacji na policję oraz kontakt ze Spółką.
Proszę pamiętać, że nasza Spółka podejmuje wszelkie możliwe działania, aby
zminimalizować ryzyko związane z tym incydentem i chronić Państwa dane osobowe.
Działania naprawcze:
Aby zminimalizować skutki tego incydentu oraz zapobiec podobnym sytuacjom w przyszłości, podjęliśmy następujące kroki:
- Wyznaczyliśmy zespół ds. monitorowania zagrożeń.
- Zawiadomiliśmy uprawnione organy i służby o zaistniałym naruszeniu danych (CSIRT i Policję, Ubezpieczyciela).
- Zmieniliśmy hasła do poczty elektronicznej Zarządu oraz kont wszystkich pracowników,
- Wprowadziliśmy blokadę adresów IP. Ograniczyliśmy dostęp do systemów pocztowych wyłącznie z zatwierdzonych adresów IP. Logowanie do kont pocztowych na serwerach Microsoft 365, z których korzystamy jest możliwe tylko z urządzeń znajdujących się w fizycznych lokalizacjach Spółki.
- Wprowadziliśmy warstwę zabezpieczeń Entra ID Premium, której funkcje obejmują: adaptacyjne uwierzytelnianie wieloskładnikowe (MFA) tj. możliwość dostosowania wymagań uwierzytelnienia w zależności od poziomu ryzyka wykrytego podczas próby logowania; warunkowy dostęp tj. konfiguracja szczegółowych zasad dostępu opartych na kontekście logowania, takich jak lokalizacja, urządzenie, stan zabezpieczeń urządzenia oraz role użytkownika; monitorowanie ryzyka tożsamości tj. automatyczne wykrywanie i reakcja na podejrzane działania logowania, takie jak logowanie z nietypowych lokalizacji geograficznych.
- Wdrożyliśmy obowiązkowe logowanie przez VPN w sieci wewnętrznej Spółki. Logowanie do systemów pocztowych oraz innych kluczowych systemów wyłącznie za pośrednictwem firmowej sieci VPN.
- Wdrożyliśmy automatyczne alerty o podejrzanej aktywności. Nasz system został skonfigurowany do generowania automatycznych powiadomień o wszelkich podejrzanych lub nietypowych działaniach związanych z próbami logowania lub zmianami w konfiguracji zabezpieczeń, co pozwala na natychmiastową reakcję i ograniczenie potencjalnych skutków naruszenia.
- W najbliższym okresie planujemy audyt ochrony danych osobowych, przegląd i aktualizację polityk ochrony danych, w tym wdrożenie dodatkowych procedur ochrony danych dla pracowników; wyznaczenie inspektora ochrony danych lub konsultanta oraz szkolenia z zakresu socjotechniki i antyphishingowe dla Zarządu i pracowników na temat zagrożeń związanych z phishingiem oraz innymi formami ataków socjotechnicznych.
Zalecenia dla Pani/Pana:
Zalecamy podjęcie następujących kroków w celu ochrony swoich danych:
- Zwrócenie uwagi na korespondencję pochodzącą od naszej Spółki lub
w jej imieniu. Proszę sprawdzać czy adres pocztowy nie zwiera przestawionych
liter, dodatkowych znaków, czy występuje jako @berren.pl (prawidłowy) a nie jako
sfałszowany np. Berern.com:
- Zastrzeżenie numeru PESEL w aplikacji mObywatel, urzędzie gminy, placówce pocztowej lub bankowej. Podajemy link: Zastrzeż swój numer PESEL lub cofnij zastrzeżenie - Gov.pl - Portal Gov.pl (www.gov.pl)
- Dokładne sprawdzanie wiarygodności osób i podmiotów, które mogą próbować uzyskać Pani/Pana dane osobowe.
- Zachowanie szczególnej ostrożności przy udostępnianiu dodatkowych danych.
- Nie klikanie w podejrzane linki w wiadomościach otrzymywanych lub rzekomo pochodzących od nas, jak również Państwa kontrahentów, dostawców, partnerów, pracowników i zleceniobiorców.
- Nie podawanie danych do logowania (loginu, hasła, kodu, PINu itp.) w wiadomościach wewnętrznych organizacji z którą są Państwo powiązani bez upewnienia się np. telefonicznego, że wiadomość pochodzi od właściwych adresatów.
- Zachowanie szczególnej ostrożności przy udostępnianiu dodatkowych danych.
- Skorzystanie z usług monitorowania prób wyłudzenia kredytu, takich jak Alerty BIK i złożenie tam konta poprzez Jak założyć konto w portalu BIK | Biuro Informacji Kredytowej. Dodatkowo, zachęcamy do zapoznania się z artykułem Biura Informacji Kredytowej na temat metod działania oszustów w przypadku wyłudzenia kredytów, który można znaleźć pod adresem: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci.
Bardzo przepraszamy za wszelkie niedogodności związane z zaistniałą sytuacją oraz naruszeniem ochrony Pani/Pana danych osobowych. Rozumiemy, że może to budzić niepokój i obawy, dlatego też chcemy zapewnić Państwu pełne wsparcie. Wszelkiej pomocy udzieli Pani/Panu Wiceprezes Zarządu, Pan Adam Wysokiński. W przypadku jakichkolwiek pytań lub wątpliwości, pozostaje on do Pani/Pana dyspozycji (adam.wysokinski@berren.pl, 608 298 999).
Jeszcze raz przepraszamy za zaistniałe niedogodności i dziękujemy za zrozumienie.
Z poważaniem,
Członkowie Zarządu,
A.B. Berren-Handlowy Sp. z o.o.
Ul. Ogrodowa 22, 05-816 Reguły
Tel: 22 798 03 18, e-mail: berren@berren.pl