Grupa klientów PGE Obrót otrzymała nie swoje faktury – mamy stanowisko Spółki

Użytkownik serwisu Wykop o nicku @dese zauważył, że otrzymał mailowo fakturę od PGE Obrót. Według jego relacji wiadomość nie wyglądała podejrzanie oraz zawierała poprawne informacje (np. numer klienta). Okazało się jednak, że załączony dokument był wystawiony na inną osobę i zawierał inne dane – adres, taryfę a także zeszłoroczne zużycie prądu.

TLDR:

• Użytkownik Wykopu zauważył, że faktura, którą otrzymał nie jest adresowana na niego
• Po zgłoszeniu incydentu otrzymał informację, aby fakturę usunąć
• PGE potwierdza, że incydent wystąpił, ale dotknął niewielu klientów. Poprawne faktury zostały rozesłane do klientów

Użytkownik powiadomił telefonicznie PGE o zaistniałym incydencie, został też poproszony o usunięcie danych (co jest standardową praktyką w takim przypadku). 

Wysłaliśmy zapytanie do biura prasowego spółki PGE z prośbą o odpowiedź na następujące pytania:

1. Czy faktycznie doszło do takiej sytuacji?

2. Jak doszło do ujawnienia danych innej osoby?

3. Czy jest to jednorazowa pomyłka, czy zjawisko ma szerszy charakter – ilu potencjalnych użytkowników mogło dotknąć? 

4. Jakie działania naprawcze i zapobiegawcze podjęto?

5. Czy zgłoszono sprawę do UODO lub poinformowano osoby, których dane mogły zostać naruszone?
Po niespełna dniu otrzymaliśmy odpowiedź, którą pozwalamy sobie przytoczyć w całości:

Dzień dobry

przesyłamy odpowiedź na zadane pytania:

W wyniku jednorazowego błędu systemu IT niewielka grupa klientów PGE Obrót otrzymała mailowo faktury, które były błędnie zaadresowane. Spółka niezwłocznie przystąpiła do identyfikacji problemu i jego naprawy. Pomimo niewielkiej skali zdarzenia i niskiego ryzyka wystąpienia potencjalnych skutków, spółka zgłosiła sprawę do UODO. Jednocześnie klienci, którzy otrzymali błędne faktury zostali o tym fakcie od razu powiadomieni oraz dostali informację, że powinni błędnie zaadresowaną fakturę usunąć, a poprawną otrzymają zgodnie ze swoim okresem rozliczeniowym. Zaistniała sytuacja miała charakter incydentalny. PGE Obrót zawsze zachowuje należytą staranność i ostrożność w procesie przetwarzania danych swoich klientów.

Pozdrawiamy,

Biuro Prasowe PGE

Mimo niewielkiej skali incydentu, spółka przyznaje się do błędu, a podjęte kroki są adekwatne do sytuacji. Na tym etapie nie będziemy spekulowali co było przyczyną błędnego wygenerowania i rozesłania faktur.

Co teraz? Jeśli jesteś klientem PGE i otrzymałeś błędną fakturę – dostaniesz nową. Tę, którą otrzymałeś po prostu usuń. O tym czy Twoje dane wyciekły powinieneś zostać powiadomiony przez PGE. Czy jest się czego obawiać? Żyjąc w dzisiejszym świecie nasze dane przetwarzane są w niezliczonych miejscach. Każdy ich wyciek boli, jednak patrząc realnie na zakres tego incydentu – większość z tych danych najpewniej i tak jest już w sieci. 

Czy można się przed tym zabezpieczyć? Na ten moment ciężko wskazać porady, które mogłyby zminimalizować ryzyko wycieku informacji z wystawianych faktur, jednak zawsze warto uwzględnić by nasze hasła do kont były złożone z minimum 15 znaków, a także posiadali dodatkowe zabezpieczenie w postaci 2FA. Zastrzeżenie numeru PESEL też jest dobrą rekomendacją.

Mamy nadzieję, że problem został rozwiązany przez spółkę i odpowiednie mechanizmy weryfikujące nie pozwolą na ponowny wyciek informacji. 

~fc