CD Projekt może mieć problem z wyciekiem danych osobowych? CDP zaleca ostrożność – mamy komentarz studia

Od kilku godzin krąży w Sieci informacja dotycząca problemów byłych i aktualnych pracowników CD Projektu, których dane osobowe miały zostać przejęte przez hakerów. Poprosiliśmy rodzime studio o komentarz i otrzymaliśmy sporo konkretów.

Od poniedziałku informujemy naszą społeczność o problemach CD Projektu. Hakerzy próbują sprzedać kody źródłowe produkcji, prokuratura rozpoczęła śledztwo, ale kłopoty mogą sięgać znacznie dalej. Przypomnijmy, że zgodnie z wiadomością przestępców, uzyskali oni dostęp do informacji z działu HR.

Jak podaje Marcin Kosman, po potwierdzeniu cyberataku, pracownicy CD Projekt RED mieli rozpocząć wymiany dowodów osobistych oraz weryfikację tożsamości w BIK. Zgodnie z relacją, do jednej z osób miał już odezwać się przedstawiciel banku z zapytaniem o udzielenie kredytu.

Koledzy donoszą, że po wycieku danych z CD PROJEKT RED pracownicy grupy wymieniają dowody osobiste i weryfikują się w BIK. Do jednego już dzwonił bank z pytaniem, czy to on chce wziąć kredyt (nie, nie on).

— Marcin Kosman (@Kosowsky_) February 11, 2021

Dodam, że nie mam pojęcia, jak wygląda procedura informowania o tym np. byłych pracowników. Faktem jest jednak, że naruszono bezpieczeństwo danych z HR (o czym informowano), a te trzeba przechowywać... przez pół wieku.

— Marcin Kosman (@Kosowsky_) February 11, 2021

Sytuacja może również dotyczyć byłych współpracowników CD Projektu, choć jak wskazane zostało przez firmę – obecnie nie ma dowodów, by uzyskano jakiekolwiek dane osobowe poszczególnych osób. We wpisie z 9 lutego przedsiębiorstwo zaleca jednak ostrożność i w przypadku jakichkolwiek wątpliwości prosi o kontakt.

To our ex employees: As of this moment, we don't possess evidence that any of your personal data was accessed. However, we still recommend caution (i.e. enabling fraud alerts). If you have questions, please write to our Privacy Team dpo[at]https://t.co/0UUMoqT5tF

— CD PROJEKT RED (@CDPROJEKTRED) February 9, 2021

Zdecydowaliśmy zapytać u samego źródła i otrzymaliśmy bardzo konkretne informacje. CD Projekt tłumaczy, dlaczego spółka nie zdecydowała się zgłosić naruszenia ochrony danych osobowych, ale także potwierdza ważny szczegół – aktualnie nie ma dowodów naruszenia danych. Spółka kontaktuje się również z potencjalnie zagrożonymi osobami.

Dlaczego spółka zdecydowała się na zgłoszenie naruszenia ochrony danych osobowych do UODO?

Atak, który miał miejsce, polegał między innymi na zaszyfrowaniu dysków sieciowych, na których przechowywane były dokumenty spółki. Część z nich mogła zawierać dane osobowe. Sam ten fakt nakłada na nas, jako administratora danych, obowiązek dokonania zgłoszenia do Prezesa UODO. Obecnie trwa dochodzenie, które ma wyjaśnić, czyje dane osobowe obejmuje naruszenie. W ramach działań prewencyjnych, zgodnie z najlepszymi praktykami w tym zakresie, przedstawiliśmy naszym pracownikom rekomendacje działań z zakresu bezpieczeństwa danych osobowych. Wydaliśmy również publiczny komunikat do byłych pracowników na Twitterze i kontaktujemy się z nimi indywidualnie. Na ten moment nie otrzymaliśmy żadnej potwierdzonej informacji, żeby ktoś z naszego personelu został poszkodowany, w szczególności nie wiemy nic o jakichkolwiek próbach wyłudzania pożyczek na dane naszych pracowników.

Czy potwierdzacie, że doszło do wycieku danych Waszych pracowników i/lub współpracowników? 

Na chwilę obecną nie posiadamy dowodów na to, że uzyskano dostęp do danych osobowych pracowników (również byłych) czy współpracowników. Nadal jednak zalecamy ostrożność (np. włączenie alertów o próbach oszustwa). 

Czy spółka kontaktuje się z potencjalnie zagrożonymi osobami?

Wydaliśmy publiczny komunikat do byłych pracowników na Twitterze oraz sukcesywnie kontaktujemy się z nimi indywidualnie, informując ich o zaistniałej sytuacji i zalecając ostrożność oraz podjęcie niezbędnych środków bezpieczeństwa, jak na przykład włączenie alertów o próbach oszustwa.