Od poniedziałku informujemy naszą społeczność o problemach CD Projektu. Hakerzy próbują sprzedać kody źródłowe produkcji, prokuratura rozpoczęła śledztwo, ale kłopoty mogą sięgać znacznie dalej. Przypomnijmy, że zgodnie z wiadomością przestępców, uzyskali oni dostęp do informacji z działu HR.
Jak podaje Marcin Kosman, po potwierdzeniu cyberataku, pracownicy CD Projekt RED mieli rozpocząć wymiany dowodów osobistych oraz weryfikację tożsamości w BIK. Zgodnie z relacją, do jednej z osób miał już odezwać się przedstawiciel banku z zapytaniem o udzielenie kredytu.
https://twitter.com/Kosowsky_/status/1359793739481436161
https://twitter.com/Kosowsky_/status/1359794746210856960
Sytuacja może również dotyczyć byłych współpracowników CD Projektu, choć jak wskazane zostało przez firmę – obecnie nie ma dowodów, by uzyskano jakiekolwiek dane osobowe poszczególnych osób. We wpisie z 9 lutego przedsiębiorstwo zaleca jednak ostrożność i w przypadku jakichkolwiek wątpliwości prosi o kontakt.
https://twitter.com/CDPROJEKTRED/status/1359230980775694341
Zdecydowaliśmy zapytać u samego źródła i otrzymaliśmy bardzo konkretne informacje. CD Projekt tłumaczy, dlaczego spółka nie zdecydowała się zgłosić naruszenia ochrony danych osobowych, ale także potwierdza ważny szczegół – aktualnie nie ma dowodów naruszenia danych. Spółka kontaktuje się również z potencjalnie zagrożonymi osobami.
Dlaczego spółka zdecydowała się na zgłoszenie naruszenia ochrony danych osobowych do UODO?
Atak, który miał miejsce, polegał między innymi na zaszyfrowaniu dysków sieciowych, na których przechowywane były dokumenty spółki. Część z nich mogła zawierać dane osobowe. Sam ten fakt nakłada na nas, jako administratora danych, obowiązek dokonania zgłoszenia do Prezesa UODO. Obecnie trwa dochodzenie, które ma wyjaśnić, czyje dane osobowe obejmuje naruszenie. W ramach działań prewencyjnych, zgodnie z najlepszymi praktykami w tym zakresie, przedstawiliśmy naszym pracownikom rekomendacje działań z zakresu bezpieczeństwa danych osobowych. Wydaliśmy również publiczny komunikat do byłych pracowników na Twitterze i kontaktujemy się z nimi indywidualnie. Na ten moment nie otrzymaliśmy żadnej potwierdzonej informacji, żeby ktoś z naszego personelu został poszkodowany, w szczególności nie wiemy nic o jakichkolwiek próbach wyłudzania pożyczek na dane naszych pracowników.
Czy potwierdzacie, że doszło do wycieku danych Waszych pracowników i/lub współpracowników?
Na chwilę obecną nie posiadamy dowodów na to, że uzyskano dostęp do danych osobowych pracowników (również byłych) czy współpracowników. Nadal jednak zalecamy ostrożność (np. włączenie alertów o próbach oszustwa).
Czy spółka kontaktuje się z potencjalnie zagrożonymi osobami?
Wydaliśmy publiczny komunikat do byłych pracowników na Twitterze oraz sukcesywnie kontaktujemy się z nimi indywidualnie, informując ich o zaistniałej sytuacji i zalecając ostrożność oraz podjęcie niezbędnych środków bezpieczeństwa, jak na przykład włączenie alertów o próbach oszustwa.