Obok RODO – wpadki firm i instytucji

Od 25 maja 2018, za wyciek bądź przetwarzanie danych osobowych bez naszej zgody grożą kary rzędu 10-20 mln euro lub 2-4% rocznego światowego obrotu firmy. RODO może drogo kosztować... Nadal jednak zaobserwować można pewną beztroskę i nonszalancję w szafowaniu danymi.

Podziękowanie od KNF

Jak powszechnie wiadomo system płatności Homepay trafił niedawno na listę ostrzeżeń Komisji Nadzoru Finansowego. Zanim do tego doszło, do KNF-u spływały skargi od poszkodowanych. Urząd podziękował tym, którzy wysłali mu zawiadomienie o nieprawidłowościach, poinformował o podjętych działaniach… Niestety zapomniał o skorzystaniu z UDW (inaczej BCC), ujawniając adresy e-mail 25 osób. Niewiele? Ale jeśli to powtarzalna praktyka...

Wszystko na pokaz z HRD.pl

HRD.pl to jedena z większych firm pośredniczących w rejestracji domen w Polsce, która obsługuje sprzedawców detalicznych. Od kilku miesięcy firma planowała migrację klientów do nowego panelu, nastąpiło to w jeden z ostatnich weekendów, z wieloma problemami, niestety. choć nie bez problemów. Jednym z efektów ubocznych był błąd umożliwiający wyciągnięcie danych klientów firmy i zarejestrowanych przez nich domen.

Wystarczyło wpisać w okno przeglądarki: https://bok.hrd.pl/csa/services?id=[id klienta]

by poznać imię danego użytkownika, jego nazwisko oraz listę zarejestrowanych domen wraz z czasem ich zakupu i wygaśnięcia. Wyglądało to na przykład tak:

Ze strony https://zaufanatrzeciastrona.pl/post/wyciek-danych-klientow-hrd-pl-przy-okazji-migracji-systemu/ możemy dowiedzieć się, że usterka została szybko usunięta, ale jak widać nawet wielomiesięczne testy związane z migracją nie rozwiązują problemów.

Gry i gierki z PLAY

Również w tym miesiącu pracownica salonu sieci Play w Piekarach Śląskich udostępniła odpłatnie dane klientów / abonentów tej sieci; na komunikatorze, rzekomo za 2 tys. zł. Niestety autor prowokacji udostępnił pliki na stronach Wykop.pl - co prawda szybko administratorzy je usunęli, ale...
Oba zbiory zawierały po kilkanaście tysięcy rekordów, była to aktualna zawartość bazy m.in. z danymi osób, które odwiedziły salon sieci Play w tym roku.

Pierwszy plik zawierał 14 tys. rekordów, a w nich takie pola jak:

• ID klienta,
• nazwa bazy,
• typ (firma/indywidualny),
• NIP/PESEL
• nr konta,
• liczba numerów przypisanych do konta,
• adres e-mail.

Z kolei drugi plik - 13 tys. rekordów:

• imię i nazwisko klienta
• adres zamieszkania (kod pocztowy, miejscowość, ulica, nr domu i mieszkania),
• numery telefonów (czasem kilka),
• datę ostatniej wizyty.

Jak widać czynnik ludzki jest niesamowicie istotny.

Ekspresowa reakcja

LeoExpress oferuje klientom indywidualnym przejazdy autobusowe i kolejowe, co wymaga prowadzenia serwisu WWW i utrzymywania profili klientów. Jeden z zarejestrowanych użytkowników z okazji zamieszania z RODO postanowił sprawdzić, jakie dane podał firmie. W łatwy sposób odkrył luki w systemie, dzięki którym każdy mógł poznać wrażliwe dane innych zarejestrowanych osób. Jak pisze tutaj: "wiedziałbym jakimi klasami i z kim podróżujecie, kiedy Was nie ma w domu, no i z przyjemnością zaprosiłbym Was na prezentację garnków dzwoniąc do was z samego rana, a wasz numer zostałby oczywiście “wylosowany” :D"

Jak widać przypadki naruszeń rozporządzenia RODO się zdarzają i zapewne będą się zdarzały nadal. Warto przyglądnąć się zabezpieczeniom, jakie są wdrożone w Banku, Firmie, bądź Instytucji, warto starać się wyeliminować czynniki, które mogą sprzyjać wystąpieniu zagrożeń. 

Jeśli mają Państwo pytania lub wątpliwości, jeśli oczekują Państwo wsparcia - zapraszamy do kontaktu z naszymi specjalistami.