Ochrona danych o długach

Sprawdzanie w rejestrze dłużników ERIF mogło powodować utratę danych

Oceń ten post

Zapewne sprawdzając wpisy w rejestrze dłużników nie spodziewałbyś się, że właśnie narażasz się na utratę danych. Sprawdź zatem czy ktoś nie przejął Twojego konta.

W sieci pojawił się ciekawy artykuł dotyczący przejęcia konta użytkownika w Biurze Informacji Gospodarczej. W tym konkretnym wypadku chodziło o BIG ERIF.  Wystarczyło wysłać e-maila z dowolnego adresu pocztowego, aby zmienić adres e-mail przypisany do naszego konta na ich serwisie. Czyż nie jest to bardzo dobre pole do popisu dla kradnących prywatne dane przestępców?

Dobrze jest sprawdzać „rejestr dłużników” BIG

Istnieje wiele instytucji taki jak m.in. Biuro Informacji Gospodarczej, gdzie prowadzone są usługi dzięki którym możemy sprawdzić kto pytał o nasze dane. Co ważniejsze, kto umieścił informację o długu i dla wielu dłużników najcenniejszą, czy dług można korzystnie odkupić? ERIF BIG S.A. to jedno z biur należących do tych instytucji. Pod adresem infoKonsument.pl (dla osób fizycznych) świadczy usługę dającą nam możliwość sprawdzenia samego siebie zanim sprawdzi nas np. bank. Usługa ta jest darmowa pod warunkiem, że nie korzystamy z niej zbyt często (raz na 6 miesięcy).

Dostęp do raportu o przedsiębiorcy z rejestru BIG jest już stosunkowo prosty. Inaczej ma się sprawa w przypadku osoby fizycznej i o takim przypadku będzie mowa. Jak to bywa na wielu takiego rodzaju portalach (BIG), tak i ten wymaga jednak od nas podania kilku istotnych danych, takich jak np. numer PESEL. Wszystko byłoby ok, gdyby nie…

Wystarczył jeden e-mail do uzyskania dostępu do cennych danych

Serwis Niebezpiecznik.pl opisał sytuację, w której jeden z Panów zainteresowany sprawdzeniem informacji o sobie, założył konto na infoKonsument.pl, podał wszystkie potrzebne dane wraz z adresem e-mail. Niestety jakiś czas po rejestracji, stracił dostęp do swojego e-maila i postanowił go zmienić również w systemie ERIF. Zadzwonił więc w tym celu na infolinię biura. Tam został poinformowany, że wystarczy wysłać wiadomość do BOK o zmianę adresu e-mail przypisanego do konta. Użytkownik postąpił zgodnie z instrukcją jednak z ciekawości wysłał prośbę ze skrzynki, która nie była zarejestrowana w systemie ERIF. Na dodatek prosił o zmianę maila na jeszcze inny niż dwa już wymienione. Zakładamy, że był zdziwiony w momencie kiedy się okazało, że dla tego BIGu nie stanowi to problemu. Potwierdziła to wiadomość otrzymana mailem oraz próba logowania z użyciem nowego adresu.

Sprawdzanie w rejestrze dłużników ERIF prowadziło do utraty danych

Czy taka procedura jest „normalna”?

Całą tą historię postanowili zweryfikować prowadzący serwis niebezpiecznik.pl. Założyli oni konto na portalu infoKonsument.pl i powtórzyli wcześniej opisaną procedurę. Z tym samym efektem. Adres został zmieniony i już po kilku minutach można było się dzięki niemu zalogować na konto. Z racji tego, iż w bardzo prosty sposób można z tego serwisu pobrać podane przez nas przy weryfikacji prywatne dane np. numer PESEL, nasuwa się pytanie dlaczego tak łatwo może się do nich dostać osoba nieupoważniona?

Tak tłumaczy się z tych procedur ERIF

Oczywiście wyżej opisana sytuacja zgłoszona została bezpośrednio do ERIF. Okazało się, że to nie pierwsze takie zgłoszenie w tej sprawie, a ERIF intensywnie pracuje nad tym aby procederu zmienić. Tłumaczyli się tym, iż nie każdy z pracowników zrozumiał na czym polegać ma ta zmiana. Po „posprzątaniu”, każdemu zmieniającemu e-mail została wysłana wiadomość z prośbą o dodatkową weryfikacje, co przynajmniej może uspokajać. Świadczy to bowiem o tym, że osoby zmieniające adres e-mail w jakiś sposób były monitorowane.

Jeżeli kiedykolwiek i gdziekolwiek spotka Cię podobna sytuacja, zgłoś to natychmiast! Pamiętaj, że  w żadnej firmie nie powinno być możliwości zmiany adresu e-mail w ten sposób. Wysłanie do eBOK wiadomości z niezweryfikowanego adresu mailowego.

Całą historię poznacie odwiedzając stronię niebezpiecznik.pl

Dodaj komentarz