Nawet 1,7 mld zł rocznie wyłudzonych kredytów na skradzioną tożsamość

Eksperci serwisu ChronPESEL.pl podkreślają, że nasze dane są zgromadzone w wielu miejscach, z czego często nawet nie zdajemy sobie sprawy. Każda wizyta w urzędzie, banku, przychodni, podjęcie pracy, nocleg w hotelu, zakupy w e-sklepie, zostawia ślad w postaci naszych danych. Bardzo często konieczne jest także podanie numeru PESEL. To on jest najcenniejszą informacją, którą należy bezwzględnie chronić. Jeśli dostanie się w niepowołane ręce, może okazać się, że ktoś na nasze dane wziął kredyt, podpisał umowę na telefon, kupił drogi sprzęt na raty lub zarejestrował firmę, aby wyłudzać towary.

- Numer PESEL jest naszym drugim DNA. Otrzymujemy go raz na całe życie. Przekonanie, że bank czy szpital jest instytucją zaufania publicznego, a więc odpowiednio dba o zgromadzone dane, jest złudne. W dzisiejszej rzeczywistości zjawisko wycieków będzie przybierać na sile. Wpływ na to mają zarówno zawodne technologie, jak i pracownicy firm i instytucji, którzy nierzadko zapominają o zasadach bezpieczeństwa. Pamiętajmy, że cyberprzestępcy są zawsze pół kroku przed innymi - mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Nasze dane wyciekają niemal codziennie

Informacje o wyciekach danych, w tym numerów PESEL, pojawiają się w mediach niemal każdego dnia. Są one rozproszone, a dopiero zebrane w całość pokazują pełną skalę zjawiska.

Operator komórkowy Virgin Mobile w grudniu 2019 r. poinformował, że wyciekły dane tysięcy klientów prepaid, czyli telefonów na kartę, w tym imiona, nazwiska oraz numery PESEL.

W listopadzie ub.r. skradziono komputer przenośny jednego z pracowników Szkoły Głównej Gospodarstwa Wiejskiego. Na dysku znajdowały się dane osobowe przetwarzane podczas rekrutacji studentów w ostatnich latach. Były to m.in. imię i nazwisko, imiona rodziców, PESEL, adres zamieszkania, seria i numer dowodu osobistego.

We wrześniu 2019 r. Urząd Ochrony Danych Osobowych nałożył na sklep internetowy z elektroniką Morele.net rekordową karę 2,8 mln zł za niedostateczny poziom zabezpieczeń. W poprzednim roku w wyniku ataku hakerskiego wyciekła z niego baza 2,5 mln klientów, która była dostępna na czarnym rynku internetowym. Wprawdzie nie zawierała ona numerów PESEL, ale zaraz po zakupach klienci zaczęli dostawać SMS-y z linkiem, który przekierowywał ich do fałszywej strony pośrednika w płatnościach. Następnie wyłudzał login i hasło do konta w banku oraz kod autoryzacji wysyłany ofierze przez bank SMS-em. W efekcie tracili oni pieniądze z rachunku.

W listopadzie ub.r. zaginęły dane osobowe 200 tys. pacjentów oraz pracowników Dolnośląskiego Centrum Onkologii we Wrocławiu, w tym imiona, nazwiska, numery PESEL i daty urodzenia. Baza danych znajdowała się w komputerze firmy zewnętrznej, która obsługiwała szpital w zakresie informatyki.

W styczniu 2019 r. z rejestracji przychodni lekarza POZ w Szpitalu Wojewódzkim im. Jana Pawła II w Bełchatowie zostały skradzione dane 150 pacjentów. W ten sposób wypłynęły imiona, nazwiska, numery PESEL oraz wzory podpisów osób, którym udostępniono dokumentację.

Instytucje finansowe i służba zdrowia na celowniku hakerów

Służba zdrowia to drugi po instytucjach finansowych cel ataków hakerów na świecie. Raport Najwyższej Izby Kontroli z listopada ub.r. o ochronie danych osobowych w szpitalach pokazuje, że większość sprawdzanych placówek nie zapewnia skutecznej ochrony danych pacjentów, a w ponad połowie doszło do naruszeń. Co więcej, w 7 skontrolowanych lecznicach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. Osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących np. historii choroby czy przebiegu leczenia.

Eksperci serwisu ChronPESEL.pl przytaczają przypadek, z jakim zwróciła się do nich farmaceutka z woj. zachodniopomorskiego. W grudniu 2019 r. otrzymała listowne powiadomienie z Narodowego Funduszu Zdrowia o wycieku danych kierowników aptek z tego województwa, w tym numerów PESEL.

- Nie trzeba zgubić dowodu osobistego, aby odczuć bolesne skutki utraty tożsamości. Wyplątanie się z matni, jaka powstaje, gdy bank czy telekom upomina się o spłatę rat z kredytu, którego nie wzięliśmy, jest bardzo trudne. Pochłania to mnóstwo czasu i nerwów, o kosztach nie wspominając. Dlatego trzeba trzymać rękę na pulsie i monitorować, czy ktoś nie sprawdzał nas w Krajowym Rejestrze Długów. Banki, firmy pożyczkowe czy dostawcy energii przed podpisaniem umowy weryfikują, czy potencjalni klienci nie widnieją w rejestrze. Muszą jednak mieć na to ich zgodę. Kiedy więc otrzymamy SMS z KRD z informacją, że jakaś instytucja pytała o nas, będzie to sygnał, że ktoś posłużył się naszymi danymi. Można wtedy szybko zareagować i zgłosić, że to oszustwo - wyjaśnia Bartłomiej Drozd.

Dane osobowe będą wyciekać jeszcze częściej

Według ekspertów serwisu ChronPESEL.pl, wycieki danych niestety będą się zdarzały coraz częściej, ponieważ zwiększa się nasza aktywność w świecie cyfrowym. Wzrastać będzie też aktywność przestępców, którzy będą je chcieli wykorzystać do kradzieży.

Tylko w ciągu pierwszych trzech kwartałów minionego roku udaremniono kilka tysięcy prób wyłudzeń kredytów o wartości ok. 230 mln zł. Ile było udanych prób, tego do końca nie wiadomo, bo instytucje finansowe nie chcą ujawniać takich danych. Eksperci szacują, że w przypadku kredytów bankowych może to być 1,5-1,7 proc. ich wartości, a jeśli chodzi o pożyczki - 3,0-3,2 proc. Oznaczałoby to, że realna skala wyłudzeń tylko w sektorze finansowym wynosi 1,5-1,7 mld zł rocznie. Ale fraudy są też problemem innych branż, np. telekomów, gdzie oszuści na cudze dane wyłudzają drogi sprzęt – smartfony, tablety, czy laptopy.