Zidentyfikowane naruszenie danych

We wrześniu firma DFDS A/S odkryła naruszenie danych osobowych klientów. Uważamy, że ryzyko negatywnych konsekwencji dla naszych klientów jest niskie. Jednak w związku z ogólnym wzrostem liczby prób ataków spear phishing, informujemy naszych klientów o tym zdarzeniu, aby mogli Państwo podjąć odpowiednie środki ostrożności.

W styczniu skontaktujemy się bezpośrednio ze wszystkimi klientami, których może dotyczyć naruszenie danych.

Informacje o ataku

W dniu 6 września 2023 roku zidentyfikowano plik konfiguracyjny dostępny za pośrednictwem Internetu. Plik konfiguracyjny nie zawierał danych osobowych. Plik umożliwiał jednak ominięcie wdrożonych przez nas zabezpieczeń i dostęp do bazy danych w aplikacji internetowej, gdzie widoczne były dane klientów. Dane nie mogły zostać zmienione ani naruszone w aplikacji internetowej. Plik konfiguracyjny stał się dostępny, ponieważ rozwój aplikacji odbywał się poza ustalonymi systemami i procedurami korzystania z systemów informatycznych firmy DFDS. Błąd został natychmiast naprawiony, a dostęp z zewnątrz został zablokowany.

Jakich danych dotyczył atak

Baza danych, której dotyczył problem, zawierała listy adresowe obejmujące nazwę klienta, numer telefonu i adres e-mail firmy. Ponadto zawierała ona listę ze szczegółami faktur, obejmującą numer faktury, termin płatności, kwotę oraz dostęp do wiadomości e-mail wysyłanej do klienta w formacie HTML.

Jakie działania zostały podjęte do tej pory

Po wykryciu naruszenia zewnętrzny dostęp do aplikacji został natychmiast zablokowany. Ponadto Duńska Agencja Ochrony Danych1 została poinformowana o zdarzeniu.

Jaki wpływ może mieć to zdarzenie na klientów

Uważamy, że ryzyko narażenia naszych klientów jest niskie, ale ponieważ dane mogą zostać wykorzystane do ataków spear phishing, co stanowi obecnie rosnącą tendencję w przypadku prób ataków hakerskich, chcemy poinformować Państwa o potencjalnych zagrożeniach, abyście mogli podjąć odpowiednie środki ostrożności.

Jeśli mają Państwo jakiekolwiek pytania lub wątpliwości dotyczące tego, co się wydarzyło lub chcielibyście uzyskać dodatkowe informacje, prosimy o kontakt z naszym zespołem ds. ochrony danych osobowych na adres gpdr@dfds.com

Ochrona danych osobowych naszych klientów jest dla nas najważniejsza. Dokładamy wszelkich starań, aby wszystkie dane były bezpieczne. W tym przypadku baza danych znalazła się poza naszą ustaloną strukturą informatyczną, w związku z czym nie udało nam się zapewnić odpowiedniej ochrony danych osobowych naszych klientów, co jest niedopuszczalne. Przepraszamy za to i podejmujemy wszelkie odpowiednie środki, aby tego rodzaju incydenty związane z bezpieczeństwem danych nie miały już więcej miejsca.

Zabezpiecz się przed atakami spear phishing

Typowy atak spear phishing jest często wysyłany do kilku wybranych osób w firmie, zwykle za pośrednictwem poczty elektronicznej. Wiadomość e-mail będzie wyglądać jak oficjalna wiadomość i będzie zawierać próbę pobrania płatności za poprzednią lub sfałszowaną fakturę. Może to również mieć na celu nakłonienie osoby docelowej do podania dodatkowych informacji, np. nazwy użytkownika lub hasła, za pośrednictwem linków przesłanych w wiadomości e-mail.

W celu ochrony przed atakiem spear phishing:
  • Zwróć szczególną uwagę na wiadomości e-mail dotyczące płatności lub faktur.

  • Nie używaj żadnego adresu e-mail ani numeru telefonu podanego w wiadomości, ponieważ może to być próba ataku spear phishing. Korzystaj z informacji kontaktowych, które już posiadasz.

  • Postępuj ostrożnie w przypadku wiadomości e-mail i rozmów telefonicznych od osób proszących o Twoje dane (w szczególności dane takie jak data urodzenia, adres zamieszkania, adres e-mail, nazwa użytkownika lub hasła, które są często używane do weryfikacji tożsamości).

W razie wątpliwości zawsze możesz skontaktować się bezpośrednio z osobą do kontaktu w firmie DFDS, za pośrednictwem wiadomości e-mail lub telefonicznie, aby potwierdzić sprawę.