Estimados/as,
De conformidad con el artículo 34, apartados 1 y 2, del Reglamento General de Protección de Datos del 27 de abril de 2016 (RGPD), les informamos que en diciembre de 2024 se produjo una vulneración de datos personales durante el tratamiento de datos personales por parte de Profitroom S.A., con domicilio en Franklina Roosevelta 9, 60-829 Poznań, que actúa como Responsable del Tratamiento (en adelante, "Nosotros"). Este incidente consistió en el acceso no autorizado a información debido a la violación de la seguridad de la cuenta de Google de uno de nuestros empleados, lo que resultó en la divulgación de datos personales almacenados en dicha cuenta a personas no autorizadas (violación de la confidencialidad).
Naturaleza de la vulneración
El 5 de diciembre de 2024, una persona o personas no autorizadas (no se puede descartar que fueran varias, accediendo desde una misma dirección IP) ingresaron en la cuenta de Google de nuestro empleado y accedieron a su contenido, incluyendo la bandeja de correo electrónico, las direcciones de correo y datos personales como nombres, apellidos, género, lugar de trabajo, cargo y números de teléfono. El 9 de diciembre de 2024, los delincuentes comenzaron a enviar correos electrónicos con un archivo PDF infectado. Este tipo de correo es conocido como phishing y tiene como objetivo obtener las credenciales de acceso a servicios de Google.
Posibles consecuencias de la vulneración
Dado que el acceso a la cuenta de Google no solo implica acceso a la bandeja de correo, sino también al calendario y a documentos de trabajo, es nuestro deber informarles que, como consecuencia de esta vulneración, es posible que los atacantes hayan obtenido su dirección de correo electrónico, número de teléfono u otros datos que hayan compartido con nuestro empleado. Esto podría derivar en las siguientes consecuencias negativas:
Estas consecuencias son solo posibles escenarios, no garantizados, y se mencionan en función del tipo de datos personales afectados por la vulneración.
Medidas adoptadas para mitigar la vulneración
Gracias a nuestros sistemas de seguridad, logramos interrumpir las actividades de los delincuentes que consistían en enviar correos de phishing desde la cuenta de correo electrónico de nuestro empleado. Por este motivo, es posible que no hayan recibido dicho mensaje. Sin embargo, esto no garantiza que los atacantes no intenten contactarlos por otros medios. Les pedimos que mantengan precaución.
En respuesta a esta vulneración, hemos implementado medidas para minimizar o eliminar las posibles consecuencias negativas para ustedes. Entre estas medidas se incluyen la aplicación inmediata de protocolos de seguridad, como escaneos, bloqueos de cuentas y restablecimiento de contraseñas, así como la notificación del incidente a la autoridad supervisora, la Oficina de Protección de Datos Personales de Polonia (UODO).
Recomendaciones para protegerse de posibles consecuencias negativas
Si utilizan una cuenta de Google, les recomendamos realizar una verificación de seguridad (Security Checkup) de forma regular para detectar inicios de sesión sospechosos o alertas de seguridad de Google. Asimismo, les animamos encarecidamente a activar la autenticación en dos pasos (2FA).
Para mayor protección frente a las posibles consecuencias mencionadas en el punto III, pueden:
Contacto para más información
Para obtener más detalles sobre la vulneración o resolver cualquier duda, pueden ponerse en contacto con nuestra Delegada de Protección de Datos, Sra. Beata Marek, a través del correo electrónico: gdpr@profitroom.com.
Atentamente,
La Junta Directiva
Profitroom