Socialiniuose tinkluose pradėjo plisti vieno asmens istorija, kaip pakeistas telefono numeris gali virsti dideliais nemalonumais. Nors jis pats atsisakė komentuoti, pateikiame tik apibendrintą nutikimą, siekiant paaiškinti, kokia rizika gresia kiekvienam.
Asmuo rašo, kad iš banko pradėjo gauti apie mokėjimus per „Bolt“ programėlę Estijoje. Nesuprato kas vyksta, kilo panika – kol spėjo kortelę banke užblokuoti, įvyko keliolika mokėjimų, vis didesnėmis sumomis. Asmeniui su „Bolt“ nepavyko operatyviai susisiekti, nes telefono numeris nenurodomas.
Pradėjus pildyti pranešimą epolicija.lt asmuo pastebėjo – „Bolt“ programėlėje įtrauktas senas prieš trejus metus priklausęs telefono numeris, tačiau elektroninis paštas, vardas buvo pakeistas. Asmuo visą laiką nuo numerio keitimo nenaudojo „Bolt“ programėlės.
Pasirodė, kad kitas žmogus nusipirko naują „Tele2“ kortelę, gavo senąjį numerį, suvedė į „Bolt“ programėlę ir to pakako, kad gautų prieigą prie asmens paskyros ir duomenų, įskaitant ir galimybę naudotis įvesta mokėjimo kortele.
„Bolt“ pripažįsta, kad tokių atvejų pasitaiko, pinigai būna grąžinami, tačiau vertina, kad pats vartotojas turėtų būti atsakingas už savo numerio pašalinimą.
LOGIN.LT išbandė ir lengvai vien telefono numeriu atkūrė ne tik „Bolt“, bet ir „Telegram“ paskyrą su visais susirašinėjimais. Asmuo, įgijęs naują telefono numerį, gali net neįtarti, kai bandydamas pasinaudoti paslaugomis, kurdamas naują paskyrą, gaus jau senojo numerio savininko paskyrą, anksčiau susietą su telefono numeriu.
Tuo metu Valstybinės duomenų apsaugos inspekcija vertina, kad „Bolt“ taip gali neužtikrinti pakankamo saugumo, tačiau ši bendrovė veikia ne Lietuvoje – Estijoje, kur ir turi būti prižiūrima.
„Bolt“: kiekvienas vartotojas įsipareigoja informuoti, jei keičia numerį
„Bolt“ ryšių su visuomene vadovas Mantas Čižas teigė, kad iš nurodyto kliento bendrovė kreipimosi nebuvo gavusi, nors pats asmuo LOGIN.LT teigė priešingai.
„Apgailestaujame dėl susidariusios situacijos. Tokių atvejų pasitaiko, nors ir itin retai. Išsiaiškinę aplinkybes, atlyginame vartotojui, jei paslauga jo nebuvo užsakyta ir suteikta. Klientui pirmiausia reikėtų kreiptis į mūsų klientų aptarnavimo specialistus – patogiausia tą padaryti per mobiliąją programėlę arba el. paštu vilnius@bolt.eu.
„Tele2“ įspėja apie dideles grėsmes – yra daug atvejų, kai numeris keičia savininką
Patys mobiliojo ryšio operatoriai, įskaitant ir „Tele2“, trečiosioms šalims neteikia vartotojo autentifikavimo paslaugų. Už vartotojo autentifikavimą atsakingi patys paslaugų tiekėjai.
„Vien tik telefono numeris savaime negali būti prilyginamas vartotojo tapatybės nustatymui“, – teigia „Tele2“ produkto skyriaus vadovas Vaidotas Bražinskas.
Anot jo, programėlių kūrėjai patys renkasi, kaip identifikuoti asmenį.
Jis patikina ir įspėja – su tokia situacija gali susidurti visos aplikacijos, kurios naudoja prisijungimui tik telefono numerį ir niekaip kitaip neidentifikuoja unikalaus vartotojo.
Jau po trijų mėnesių senąjį numerį gali turėti kitas savininkas. Kai numerio sutartis nutraukiama (arba „Pildyk“ numeris nustoja veikti, nes yra ilgai nepildomas), po kurio laiko numeriai yra pakartotinai naudojami iš naujo, nes telefono numeriai nėra neribotas išteklius.
„Nebeveikiantis numeris dar kurį laiką saugomas, jei klientas norėtų jį perkelti, tačiau nesame įpareigoti to daryti ilgiau kaip tris mėnesius. Operatorius negali turėti ir neturi informacijos apie tai, kokioms trečiosioms šalims ir kokiomis sąlygomis klientas savo valia suteikia teisę naudoti jo telefono numerį, todėl neturi nieko bendra ir su situacijomis, kai numerio faktinis naudotojas pasikeičia, o pats naudotojas apie pasikeitimą neinformuoja trečiųjų šalių, – paaiškina „Tele2“ ekspertas.
Tam, kad trečiųjų šalių programėlės galėtų užtikrinti, jog identifikuoja unikalų vartotoją, turėtų naudoti bent porą asmens duomenų: pavyzdžiui, telefono numeris ir pin kodas arba telefono numeris ir slaptažodis ar kitos duomenų kombinacijos. Jei trečioji šalis naudoja vartotojo identifikavimui tik telefono numerį, paprastai vien tik jo neužtenka, įsitikinęs jis.
Duomenų inspektoriai abejonių nepalieka: taip neturi būti
Valstybinės duomenų apsaugos inspekcija (VDAI) paaiškina – Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtintas vientisumo ir konfidencialumo principas, pagal kurį asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
Be to, duomenų valdytojas turi užtikrinti, kad jo tvarkomi asmens duomenys būtų tikslūs, kaip to reikalauja tikslumo principas.
„Taigi, asmens duomenis tvarkantis duomenų valdytojas (pvz., „Bolt“), privalo užtikrinti, kad būtų tvarkomi tikslūs asmens duomenys ir jie būtų tvarkomi saugiai bei sugebėti tai pagrįsti, nes tai yra jo pareiga, kylanti iš BDAR įtvirtinto atskaitomybės principo.
Iš Jūsų pateiktos informacijos, galima daryti prielaidą, kad situacija yra susijusi su galimai netinkamu tapatybės nustatymo ir patvirtinimo mechanizmo veikimu. Duomenų valdytojas, naudodamas tokius tapatybės nustatymo mechanizmus, kai prie paskyros prisijungiama naudojantis telefono ryšio numeriu, turėtų įvertinti riziką, kad telefono ryšio numerio savininkas ilgainiui gali pasikeisti. Nustatęs tokią riziką, duomenų valdytojas turėtų imtis atitinkamų saugumo užtikrinimo priemonių, kad šias rizikas valdytų, pavyzdžiui, numatyti papildomus tapatybės nustatymo žingsnius, kaip patvirtinimas el. paštu, kad prie paskyros jungiasi būtent tas asmuo, kuris turėtų jungtis, ar kitokias saugumo užtikrinimo priemones“, – vertina VDAI.
VDAI nebuvo gavusi pranešimų ar skundų, susijusių su aprašyta situacija, tačiau ir negalėtų jų nagrinėti.
„Pagal „Bolt“ viešai pateikiamą informaciją keleivių duomenis tvarko Estijos Respublikos įmonė, todėl, vadovaujantis BDAR, skundus dėl šio duomenų valdytojo nagrinėtų Estijos Respublikos duomenų apsaugos priežiūros institucijai“, – teigiama komentare.
BDAR taip pat numato, kad tais atvejais, kai asmens duomenų saugumas nėra tinkamai užtikrinamas, pavyzdžiui, asmens duomenys prarandami, be leidimo atskleidžiami ir kt., tai, priklausomai nuo konkrečių aplinkybių, tokie atvejai būtų laikomi asmens duomenų saugumo pažeidimu.
Jei duomenų valdytojas nustato, kad asmens duomenų saugumo pažeidimas įvyko ir yra rizika fizinių asmenų teisėms ir laisvėms, jis per 72 valandas nuo tada, kai sužino apie asmens duomenų saugumo pažeidimą, turi informuoti kompetentingą priežiūros instituciją, pateikiant visą būtiną informaciją, susijusią su pažeidimu, jo priežastimis, tyrimu, taikytomis priemonėmis ir pan., dėstoma VDAI komentare.
„Taigi, įvykus arba esant įtarimų, kad galėjo įvykti asmens duomenų saugumo pažeidimas, duomenų valdytojas turi atlikti tokio atvejo tyrimą, įvertinant, ar pažeidimas įvyko, o jei įvyko – jo keliamą pavojų fizinių asmenų teisėms ir laisvėms, būtinas priemones pažeidimui sustabdyti ir tinkamo lygio saugumui atkurti, ir prireikus, pateikti pranešimą apie asmens duomenų saugumo pažeidimą kompetentingai priežiūros institucijai“, – įvertino VDAI.
Patarė ir patiems pasirūpinti paskyromis keičiant numerį
Anot VDAI, verta pažymėti, kad patys duomenų subjektai turi rūpintis savo asmens duomenų saugumu, kiek tai priklauso nuo jo veiksmų. Pavyzdžiui, jei suteiktas telefono ryšio numeris duomenų subjektui nebepriklauso – pakeisti kitu telefono ryšio numeriu, siekiant apsaugoti savo asmens duomenis, kai telefono ryšio numeris buvo naudojamas prisijungimui prie kitų platformų ir pan.
„Papildomai, nedraudžiama telefono numeriu keistis tarp fizinių asmenų, tačiau pats duomenų subjektas turi rūpintis savo asmens duomenų saugumu, kiek tai priklauso nuo jo veiksmų, pavyzdžiui, jeigu perleidžia telefono numerį kitam asmeniui, tuomet duomenų subjektas turėtų pasikeisti telefono numerį paskyroje arba iš paskyros panaikinti telefono numerį, arba pasirinkti kitą autentifikavimo būdą, pavyzdžiui, el. paštu, ir kt.“, – patarė inspekcija.