Aktualności

11.10.2019

  

KOMUNIKAT W SPRAWIE INCYDENTU BEZPIECZEŃSTWA SYSTEMÓW IT

W GRUPIE PFEIFER & LANGEN W POLSCE

 

W nawiązaniu do informacji o tym, że środowisko IT spółek Pfeifer & Langen w Polsce stało się w dniach 2-3 października 2019 r. celem ataku hakerskiego, pragniemy dodatkowo zawiadomić Państwa o następujących sprawach:

CO DOKŁADNIE SIĘ WYDARZYŁO

Postępowanie wewnętrzne wykazało, że atakujący mogli uzyskać dostęp do tzw. danych domenowych, czyli do imion, nazwisk oraz służbowych adresów e-mail pracowników Pfeifer & Langen oraz do imion, nazwisk oraz adresów e-mail naszych kontrahentów. 

Według naszej wiedzy w trakcie ataku intruzi mogli uzyskać również dostęp do kilku stacji roboczych pracowników. Wykorzystali ten dostęp do pobrania treści niektórych wiadomości e-mail dostępnych w korespondencji przychodzącej, w celu dalszego uwiarygodnienia swoich ataków na inne osoby. Intruzi nie pobrali na swoje dyski kopii baz danych Pfeifer & Langen. Hakerzy w trakcie ataku mieli jednak możliwość odczytania danych zawartych na zainfekowanych stacjach roboczych, w tym danych dotyczących pracowników (dane kadrowo-płacowe).  

Nie stwierdziliśmy naruszenia poufności danych handlowych, ani objętych tajemnicą przedsiębiorstwa.

CO TO OZNACZA DLA PAŃSTWA?

W pierwszej kolejności wskazujemy, że wykradzione dane adresów poczty elektronicznej mogą zostać wykorzystane przy próbach dalszego rozprzestrzeniania złośliwego oprogramowania. Odbywa się to poprzez przesyłanie pocztą elektroniczną zawirusowanego pliku WORD/EXCEL do adresata. Jako nadawca wiadomości wpisana jest osoba znana odbiorcy z dotychczasowej wymiany korespondencji (z powołaniem na jej imię, nazwisko). 

Złośliwy mail można rozpoznać weryfikując dokładny adres e-mail, z którego wysyłana jest korespondencja. Szkodliwa korespondencja wysyłana jest z adresów zawierających losowe ciągi znaków. Weryfikacji adresu nadawcy dokonujemy w nagłówku wiadomości. Nie należy sugerować się treścią stopki wiadomości e-mail, gdzie hakerzy wpisują dane zaufanego nadawcy. W adresie nadawcy wiadomości z serwerów poczty Pfeifer & Langen znajduje się „@diamant.pl”. 

Dodatkowo wskazujemy, że na skrzynkach e-mail oraz na stacjach roboczych były dostępne następujące dane dotyczące pracowników, byłych pracowników i zleceniobiorców:

• treści umów o pracę pracowników Spółki;
• informacje o wynagrodzeniach pracowników;
• CV pracowników lub osób z zewnątrz w związku z rekrutacją;
• inna korespondencja e-mail z pracownikami, dostawcami, przedstawicielami kontrahentów.

 

Nasze systemy informatyczne nie wykazują, aby przestępca kopiował dane z baz danych. Przez ograniczony czas miał on jednak możliwość odczytu danych zawartych na wybranych stacjach roboczych. Nie można wykluczyć, że może chcieć je wykorzystać w swoich dalszych działaniach.

 

CO W TEJ SPRAWIE ZROBIŁO JUŻ PFEIFER & LANGEN?

 

Podjęliśmy już następujące kroki:

• wspólnie z Działem IT niezwłocznie odzyskaliśmy kontrolę nad systemami informatycznymi  i upewniliśmy się, że osoby postronne nie mają już dostępu do jej zawartości;
• poinformowaliśmy Inspektora Ochrony Danych Spółki o zaistniałym incydencie i wspólnie z nim przygotowaliśmy m.in. tę informację;
• zgłosiliśmy incydent do Urzędu Ochrony Danych Osobowych;
• zawiadomimy Policję o podejrzeniu popełnieniu przestępstwa z art. 267 Kodeksu karnego oraz art. 107 ustawy o ochronie danych osobowych.

 

CO MOŻE ZROBIĆ PRZESTĘPCA, KTÓRY WSZEDŁ W POSIADANIE PAŃSTWA PRYWATNYCH DANYCH?

 

Złowrogie wykorzystanie prywatnych danych osobowych może przybrać w praktyce następujące formy:

• kupno czegoś na raty (np. sprzętu AGD)
• zaciągnięcie kredytu (najczęściej tzw. chwilówki)
• wynajem mieszkania, pobyt w drogim hotelu/miejscu
• kupno telefonu w salonie na umowę
• dalsza sprzedaż lub przekazanie naszych danych osobowych.

 

Nie można jednak przedwcześnie popadać w panikę i zakładać najgorszych scenariuszy finansowych lub dla życia osobistego. Banki, instytucje udzielające kredytów oraz inne podmioty stosują procedury bezpieczeństwa utrudniające popełnianie przestępstw przy użyciu cudzych danych osobowych. Wzięcie kredytu na nasze dane nie jest aż tak proste, jak to się wydaje w pierwszej chwili. 

 

CO MOGĄ PAŃSTWO ZROBIĆ DLA WŁASNEGO BEZPIECZEŃSTWA?

 

Dla ochrony danych, własnego bezpieczeństwa i spokoju warto profilaktycznie zapoznać się i skorzystać z proponowanych poniżej rozwiązań, zwiększających ochronę i naszą czujność w przyszłości:

 

• Alert BIK (Biura Informacji Kredytowej):

Możliwe jest zamówienie Alertów BIK. Polega to na otrzymywaniu powiadomień SMS oraz e-mail przy próbie zaciągnięcia kredytu lub podpisania umowy na nasze dane użytkownika. Konto można założyć pod adresem https://www.bik.pl/ochrona-bik (patrz: „Wypełnij formularz i włącz Alerty BIK”). Alert kosztuje 24 zł rocznie.

 

• Raport BIK:

System umożliwia sprawdzenie szczegółowych aktualnych zobowiązań kredytowych na nasze dane. Wygenerowanie raportu jest możliwe za pomocą konta w systemie BIK, o którego procedurze zakładania była już mowa powyżej w pkt 1). Jednorazowe wygenerowanie raportu kosztuje 39 zł.

 

• Krajowy Rejestr Długów Biuro Informacji Gospodarczej:

Posiadając konto w tym systemie można bezpłatnie raz na pół roku sprawdzić jakie podmioty weryfikowały mój numer PESEL dla potrzeb udzielenia kredytu lub zawarcia innej umowy. Konto zakłada się na stronie internetowej https://krd.pl/Sprawdzanie-firm/Dla-konsumentow/Korzysci.

 

• Sprawdzenie swoich danych w Bazie PESEL Ministerstwa Cyfryzacji

Każdy obywatel 2 razy w roku może bezpłatnie sprawdzić jakie dane na jego temat znajdują się w bazie PESEL oraz kto i po co zwracał się o ich udostępnienie. Działania te można zrealizować na 2 sposoby: elektronicznie wypełnionym wnioskiem i podpisanym Profilem Zaufanym (ePUAP) albo przesyłając fizycznie wypełniony i podpisany wniosek (na adres: Departament Ewidencji Państwowych, ul. Królewska 27, 00-060 Warszawa, z dopiskiem SRP); dodatkowe informacje można uzyskać pod nr telefonu 22 245 59 05.

 

Jeżeli Pfeifer & Langen będzie posiadało dodatkowe informacje w tej sprawie, które mogą mieć wpływ na Państwa bezpieczeństwo, niezwłocznie będziemy o tym Państwa informować.

 

Zapewniamy, iż podejmujemy bieżące oraz ukierunkowane na przyszłość wszelkie czynności i środki mające na celu niedopuszczenie do podobnych zdarzeń jak i zapobieżenie ich konsekwencjom.

 

Jeżeli będą chcieli Państwo zadać dodatkowe pytania lub przedstawić dodatkowe informacje, które mogą mieć znaczenie dla sprawy, prosimy pisać do Pana Tomasza Grzybowskiego, naszego Inspektora Ochrony Danych na dedykowany w tym celu adres e-mail: kontakt@coreconsulting.pl.

 

 

Zarząd Pfeifer & Langen Polska S.A. i Pfeifer & Langen Marketing Sp. z o.o.

 

 

10.10.2019

W imieniu spółek Pfeifer & Langen w Polsce informujemy,
że nasze środowisko IT stało się w dniach 2-3 października 2019 r. celem ataku hakerskiego
z wykorzystaniem oprogramowania niewykrywalnego przez aktualne oprogramowanie antywirusowe.

 

Pragniemy poinformować, że:

• Spółki nieprzerwanie prowadziły i prowadzą działalność na wszystkich obszarach, w tym m.in. w zakresie produkcji i realizacji dostaw.
• Nie ma zagrożenia w zakresie realizacji wymagalnych płatności oraz innych zobowiązań wobec naszych pracowników i kontrahentów.
• Realizowane są wszystkie procedury oraz obowiązki prawne i organizacyjne obowiązujące i mające zastosowanie w takich przypadkach, w tym w zakresie możliwego dostępu do danych.

 

Po stwierdzeniu ataku natychmiast przeprowadzono działania, które fizycznie uniemożliwiły hakerom działanie w środowisku IT Pfeifer & Langen w Polsce oraz niwelowane są jego skutki.

 

Spółki przeprowadzają bieżące oraz ukierunkowane na przyszłość wszelkie czynności i środki mające na celu niedopuszczenie do podobnych zdarzeń jak i zapobieżenie ich konsekwencjom.

 

Ostrzegamy przed odbieraniem poczty mailowej wysyłanej przez system/-y, który podszywa się pod nazwiska naszych pracowników. Wiadomości te nie pochodzą z serwerów poczty @diamant.pl, jednak sugerują takie pochodzenie np. poprzez wprowadzające w błąd oznaczenie w stopce maila. Nie należy otwierać takich wiadomości , zwłaszcza gdy nie widnieje w adresie "@diamant.pl"  i trzeba zastosować niezbędne środki bezpieczeństwa.

 

Zarząd Pfeifer & Langen Polska S.A. i Pfeifer & Langen Marketing Sp. z o.o.

 

 

 

Do góry