Do groźnego wycieku danych abonentów doszło podczas migracji systemów przeprowadzonej przez HRD.pl, markę firmy CONSULTING SERVICE sp. z o.o., pośredniczącej w rejestracji domen. Skala problemu jest poważna, ponieważ CONSULTING SERVICE sp. z o.o. w samym tylko rejestrze .pl posiada ponad 130 tys. abonentów, obsługując ponad 275 tys. nazw domen*.
Pierwsze doniesienia o zaistniałej sytuacji pojawiły się na portalu zaufanatrzeciastrona.pl Planowana od miesięcy przez HRD.pl migracja danych pomiędzy systemami rozpoczęła się w piątek (08.06.2018 r.) i trwała do niedzieli (10.06.2018 r.). Mimo pojawiających się sygnałów, także od klientów, firma CONSULTING SERVICE sp. z o.o. zarządzająca marką HRD.pl nie przedstawiła żadnego oficjalnego stanowiska w sprawie wycieku danych czy innych problemów, które pojawiły się podczas operacji.
Na sytuację stanowczo zareagowała spółka o12.pl, wchodząca w skład grupy kapitałowej nazwa.pl. Firma korzysta z usług HRD.pl, jednak w związku z rażącymi nieprawidłowościami wypowiedziała firmie CONSULTING SERVICE sp. z o.o. pełnomocnictwo do reprezentowania swoich klientów przed NASK, EURid i ICANN. W praktyce skutkuje to zakończeniem możliwości przetwarzania danych osobowych przez ten podmiot. Spółka o12.pl wydała oświadczenie, w którym uzasadnia swoją decyzję. Utracony brak zaufania spowodowany jest przede wszystkim informacją o wycieku danych klientów o nieokreślonej skali. Wśród listy błędów po stronie HDR.pl firma wymienia także brak możliwości przedłużenia ważności domen po dacie ich wygaśnięcia oraz brak spójności informacji na temat domen pod względem dat ich ważności w systemie HRD.pl z systemem NASK. Według o12.pl oba te zdarzenia mogły skutkować poważnym ryzykiem utraty domeny. – W trosce o bezpieczeństwo i w interesie swoich Klientów firma o12.pl podjęła aktywne kroki mające na celu zaradzić tej skrajnie zagrażającej Klientom sytuacji – mówi Krzysztof Cebrat, prezes zarządu o12.pl. Firma zażądała od CONSULTING SERVICE sp. z o.o. wydania wszystkich kodów Authinfo do domen klientów spółki o12.pl zarejestrowanych za pośrednictwem CONSULTING SERVICE sp. z o.o. – Celem o12.pl jest przeniesienie obsługi domen Klientów firmy w odpowiedzialne ręce. Bezpieczeństwo danych jej Klientów to absolutny priorytet, firma nie jest w stanie iść na kompromis w tym obszarze. Ponadto spółka o12.pl zwróciła się do NASK, EURid i ICANN o interwencję i przetransferowanie obsługi domen Klientów o12.pl do akredytowanego wiarygodnego partnera – tłumaczy Krzysztof Cebrat.
Firma o12.pl to spółka córka największego rejestratora domen w Polsce, czyli nazwa.pl sp. z o.o. Jest ona wiarygodnym partnerem NASK, posiadającym akredytację umożliwiającą bezpośrednią rejestrację domen w rejestrze .pl. Jednak rejestracja części abonentów odbywała się poprzez CONSULTING SERVICE. Sytuacja ta ma zaszłość historyczną i wynika z faktu, że abonenci byli wcześniej klientami firmy Proscape sp. z o.o., wchodzącej obecnie w skład o12.pl, która – nie mając bezpośredniej umowy z NASK – korzystała z usług HRD.pl. – Jak dobitnie pokazuje powyższa sytuacja, nie ma żadnego powodu, dla którego domeny Klientów o12.pl mają być rejestrowane za pośrednictwem trzeciego podmiotu. W związku z tym oczywistym jest, że domeny należy przenieść do wiarygodnego partnera – podkreśla Cebrat.
Takim partnerem z pewnością jest spółka NetArt Registrar sp. z o.o., należąca do grupy kapitałowej nazwa.pl, która od 9 lat jest jedynym w Polsce akredytowanym partnerem ICANN. – Akredytacja ICANN to świadectwo najwyższych standardów, a w Polsce spełnia je tylko NetArt Registrar – tłumaczy Krzysztof Cebrat – Zarząd o12.pl ma nadzieję, że NASK i pozostali partnerzy – EURid i ICANN – przychylą się do rozwiązania, które ma na celu przede wszystkim ochronę bezpieczeństwa Klientów i przetransferują domeny w miejsce, które zapewni Abonentom należytą ochronę. Takim miejscem z pewnością jest zaproponowana przez o12.pl spółka NetArt Registrar – podkreśla Cebrat.
*https://www.dns.pl/NASK-raport-rynek-nazw-domeny-pl-2017.pdf
Magda Strzykalska, źródło: Biuro prasowe nazwa.pl