Od 25 maja 2018, za wyciek bądź przetwarzanie danych osobowych bez naszej zgody grożą kary rzędu 10-20 mln euro lub 2-4% rocznego światowego obrotu firmy. RODO może drogo kosztować... Nadal jednak zaobserwować można pewną beztroskę i nonszalancję w szafowaniu danymi.
Podziękowanie od KNF
Jak powszechnie wiadomo system płatności Homepay trafił niedawno na listę ostrzeżeń Komisji Nadzoru Finansowego. Zanim do tego doszło, do KNF-u spływały skargi od poszkodowanych. Urząd podziękował tym, którzy wysłali mu zawiadomienie o nieprawidłowościach, poinformował o podjętych działaniach… Niestety zapomniał o skorzystaniu z UDW (inaczej BCC), ujawniając adresy e-mail 25 osób. Niewiele? Ale jeśli to powtarzalna praktyka...
Wszystko na pokaz z HRD.pl
HRD.pl to jedena z większych firm pośredniczących w rejestracji domen w Polsce, która obsługuje sprzedawców detalicznych. Od kilku miesięcy firma planowała migrację klientów do nowego panelu, nastąpiło to w jeden z ostatnich weekendów, z wieloma problemami, niestety. choć nie bez problemów. Jednym z efektów ubocznych był błąd umożliwiający wyciągnięcie danych klientów firmy i zarejestrowanych przez nich domen.
Wystarczyło wpisać w okno przeglądarki: https://bok.hrd.pl/csa/services?id=[id klienta]
by poznać imię danego użytkownika, jego nazwisko oraz listę zarejestrowanych domen wraz z czasem ich zakupu i wygaśnięcia. Wyglądało to na przykład tak:
Ze strony https://zaufanatrzeciastrona.pl/post/wyciek-danych-klientow-hrd-pl-przy-okazji-migracji-systemu/ możemy dowiedzieć się, że usterka została szybko usunięta, ale jak widać nawet wielomiesięczne testy związane z migracją nie rozwiązują problemów.
Gry i gierki z PLAY
Również w tym miesiącu pracownica salonu sieci Play w Piekarach Śląskich udostępniła odpłatnie dane klientów / abonentów tej sieci; na komunikatorze, rzekomo za 2 tys. zł. Niestety autor prowokacji udostępnił pliki na stronach Wykop.pl - co prawda szybko administratorzy je usunęli, ale...
Oba zbiory zawierały po kilkanaście tysięcy rekordów, była to aktualna zawartość bazy m.in. z danymi osób, które odwiedziły salon sieci Play w tym roku.
Pierwszy plik zawierał 14 tys. rekordów, a w nich takie pola jak:
- ID klienta,
- nazwa bazy,
- typ (firma/indywidualny),
- NIP/PESEL
- nr konta,
- liczba numerów przypisanych do konta,
- adres e-mail.
Z kolei drugi plik - 13 tys. rekordów:
- imię i nazwisko klienta
- adres zamieszkania (kod pocztowy, miejscowość, ulica, nr domu i mieszkania),
- numery telefonów (czasem kilka),
- datę ostatniej wizyty.
Jak widać czynnik ludzki jest niesamowicie istotny.
Ekspresowa reakcja
LeoExpress oferuje klientom indywidualnym przejazdy autobusowe i kolejowe, co wymaga prowadzenia serwisu WWW i utrzymywania profili klientów. Jeden z zarejestrowanych użytkowników z okazji zamieszania z RODO postanowił sprawdzić, jakie dane podał firmie. W łatwy sposób odkrył luki w systemie, dzięki którym każdy mógł poznać wrażliwe dane innych zarejestrowanych osób. Jak pisze tutaj: "wiedziałbym jakimi klasami i z kim podróżujecie, kiedy Was nie ma w domu, no i z przyjemnością zaprosiłbym Was na prezentację garnków dzwoniąc do was z samego rana, a wasz numer zostałby oczywiście “wylosowany” :D"
Jak widać przypadki naruszeń rozporządzenia RODO się zdarzają i zapewne będą się zdarzały nadal. Warto przyglądnąć się zabezpieczeniom, jakie są wdrożone w Banku, Firmie, bądź Instytucji, warto starać się wyeliminować czynniki, które mogą sprzyjać wystąpieniu zagrożeń.
Jeśli mają Państwo pytania lub wątpliwości, jeśli oczekują Państwo wsparcia - zapraszamy do kontaktu z naszymi specjalistami.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.