Tysiące danych mogło wyciec z Biedronki

24-04-2009, 16:13

Dane o ponad 5 tys. nieruchomości i ich właścicielach oraz blisko 6 tys. partnerach Biedronki były publicznie dostępne na serwerze popularnej sieci dyskontów. Dostęp do danych został zablokowany przez Biedronkę dopiero 30 godzin po zgłoszeniu tego faktu przez Dziennik Internautów.

Dane o przeszło 11 tys. osób i firm

Dane nieruchomości znalezione na stronie Biedronki
fot. DI - Dane nieruchomości znalezione na stronie Biedronki
Informacje o dostępności danych przesłał Dziennikowi Internautów Czytelnik, który chce pozostać anonimowy. W swoim liście osoba ta podaje nam, iż zgłaszała wcześniej informacje Biedronce, jednak nie doczekała się żadnej reakcji ze strony Jeronimo Martins, właściciela sieci.

Redakcja DI sprawdziła informacje przekazane przez Czytelnika. Faktycznie, wpisując odpowiedni - bardzo łatwy do skojarzenia z panelem administracyjnym - adres URL, otrzymywaliśmy dostęp do niezabezpieczonych danych. Jedynym "zabezpieczeniem" było to, że adres ten nie był podany publicznie na stronach Biedronki. Mogliśmy tam znaleźć informacje dotyczące niespełna 6000 dostawców Biedronki (branża, dane kontaktowe, liczbę pracowników oraz obroty w latach 2000, 2001, 2002).

Wyszukiwarka nieruchomości
fot. DI - Wyszukiwarka nieruchomości
Prócz tego znajdowały się tam dane przeszło 5000 osób i firm zainteresowanych sprzedaniem gruntów - imiona, nazwiska, nazwy firm, prywatne i firmowe adresy korespondencyjne, prywatne i firmowe adresy e-mail, numery telefonów osób prywatnych oraz adresy należących do nich gruntów.

Brak informacji od Biedronki

Szczegółowe dane działki
fot. - Szczegółowe dane działki
W powyższej sprawie Dziennik Internautów skontaktował się wczoraj, 23 kwietnia, z rzecznikiem prasowym Biedronki. Najpierw z samego rana wysłaliśmy do rzecznika tej sieci e-mail z informacją, że na serwerze Biedronki znajdują się dane osobowe, do których dostęp otrzymujemy bez żadnej autoryzacji. Ponieważ do godziny 14 nie doczekaliśmy się żadnej odpowiedzi zadzwoniliśmy do rzecznika w tej sprawie.

Rzecznik Biedronki potwierdził, że otrzymał e-mail. W trakcie rozmowy telefonicznej Dziennik Internautów poinformował przedstawiciela sieci sklepów o wrażliwych danych mnóstwa osób, jakie można znaleźć - zupełnie niezabezpieczone - na serwerze Biedronki. Niestety nasz rozmówca nie wykazał zainteresowania szybkim rozwiązaniem opisywanej sprawy. DI otrzymał od niego jedynie numer telefonu osoby, pod który pomimo kilkunastu prób nie udało nam się tego dnia dodzwonić.

Dostęp do panelu administracyjnego z danymi obecnych i potencjalnych kontrahentów tej firmy został zablokowany dopiero dziś, ok. godziny 14.50.

Przykładowe dane dostawcy
fot. DI - Przykładowe dane dostawcy
Osoby umieszczone w bazie nie wiedzą o dostępności danych

Dziennik Internautów wykonał kilka telefonów do przypadkowo wybranych osób, których dane znaleźliśmy na serwerze Biedronki. Odnieśliśmy wrażenie, że rozmówcy nie przejęli się zbytnio informacjami uzyskanymi od redakcji DI, że ich dane osobowe i kontaktowe oraz informacje majątkowe znajdowały się niezabezpieczone w serwisie sieci sklepów. Przyznali, że nie wiedzieli nic o zaistniałej sytuacji.

Z rozmów telefonicznych wynika, że osoby znajdujące się na wspomnianej liście danych raczej nie czują się poszkodowane przez Biedronkę. Jeden z rozmówców spytany czy czuje się pokrzywdzony mówi: "Tak bardzo to chyba nie. Liczę się z tym, że podaję te informacje, nie są jakieś utajnione."

Drugi rozmówca, którego dane znajdowały się na serwerze, stwierdził jedynie: "Nie jestem szczęśliwy z tego powodu, chociaż te dane (działki - przyp. red.) są ogólnodostępne. Ale z tego, co wiem, nie wyrażałem na to (ich udostępnienie - przyp. red.) zgody. Nie poniosłem jeszcze żadnej krzywdy z tego tytułu, ale nie jest to coś, czego bym się spodziewał i czego bym sobie życzył". Niektórzy z rozmówców zadeklarowali, że skontaktują się w tej sprawie z Biedronką w celu wyjaśnienia sytuacji.

Prawdopodobne uchybienia w zabezpieczeniach danych

Dziennik Internautów poprosił o opinię w opisywanej sprawie prawnika - Marcina Błaszyka z kancelarii Urowska i Wspólnicy/SLC, współautora bloga blaszyk-jarosinski.pl.

Marcin Błaszyk tłumaczy, że zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator tych danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zaś powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym.

Co istotne, zdaniem Błaszyka, "Fakt, iż jakakolwiek osoba, która nie posiada odpowiedniego upoważnienia, uzyskała dostęp do danych, świadczy o nie zastosowaniu przez administratora odpowiednich zabezpieczeń, które powinny być na tyle skuteczne, by zapewniały ochronę danych". Po czym dodaje:

Administrator ma również obowiązek prowadzenia stosownej dokumentacji, w której określa, jakimi środkami zabezpiecza dostęp do danych. W polityce bezpieczeństwa stanowiącej element tej dokumentacji, powinien określić między innymi zastosowane środki, które mają na celu zapewnienie poufności danych.

Dostęp do danych musi być chroniony

Marcin Błaszyk ponadto dodaje, że w ww. ustawie wprowadzono poziomy bezpieczeństwa danych osobowych i określono środki techniczne, jakie należy zachować dla odpowiednich poziomów:

W sytuacji, gdy co najmniej jedno urządzenie służące do przetwarzania danych jest połączone z siecią publiczną, a z taką sytuacją mamy najprawdopodobniej do czynienia, stosuje się wysoki poziom zabezpieczeń. Już najniższy poziom wymaga jednak kontroli dostępu poprzez system logowania przy użyciu unikalnych loginów i haseł.

Można więc przypuszczać, że w opisywanej sprawie nie zastosowano wymaganych zabezpieczeń.

Co ważne, osoba, której dane zostały udostępnione osobom nieupoważnionym, mogłaby domagać się od Biedronki, jako administratora danych, odszkodowania lub zadośćuczynienia za doznaną krzywdę na drodze postępowania cywilnego.

OPINIA GIODO

Dziennik Internautów skontaktował się również z biurem prasowym Generalnego Inspektora Danych Osobowych. Rzeczniczka GIODO poinformowała redakcję Dziennika Internautów, że Jeronimo Marins Dystrybucja S.A. z siedzibą w Kostrzynie właściciel sklepów sieci Biedronka, nadesłała do rejestracji następujące zgłoszenia zbiorów danych osobowych:

  • „JDM – BAZA MARKETINGOWA” (zgłoszenie do rejestracji nr R 002289/00),
  • „ZBIÓR REKRUTACYJNY JDM” (zgłoszenie do rejestracji nr R 000601/01),
  • „OBDAROWANI” (zgłoszenie do rejestracji nr R 003244/08),
  • „KLIENCI” (zgłoszenie do rejestracji nr R 003242/08, księga rejestrowa nr 076684),
  • „KIEROWCY” (zgłoszenie do rejestracji nr R 003244/08).
Postępowania w sprawie zbiorów o nazwach „JDM – BAZA MARKETINGOWA” i „ZBIÓR REKRUTACYJNY JDM” zakończone zostały wydaniem decyzji o odmowie rejestracji zbioru oraz umorzeniu postępowania. Postępowanie dotyczące zbioru danych o nazwie „KLIENCI” zakończone zostało wpisem tego zbioru do rejestru zbiorów danych osobowych, natomiast postępowania w sprawie zbiorów o nazwach „OBDAROWANI” oraz „KIEROWCY” nadal pozostają w toku.

Ponadto GIODO poinformował, że zgodnie z ustawą o ochronie danych osobowych, każdy administrator przetwarzający dane osobowe powinien legitymować się jedną z przesłanek legalizujących przetwarzanie danych (art. 23 ust. 1 ustawy), np. zgodą osoby, której dane dotyczą, oraz obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zamianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy).

Drastyczny wzrost wycieków danych

Na przestrzeni ostatnich miesięcy, a nawet dni dochodziło do wycieku ważnych danych. Przypomnijmy chociażby głośną sprawę z lipca 2008 roku, kiedy to z serwera banku Pekao S.A. wyciekły dane z ponad tysiąca CV. Pomimo nagłośnienia sprawy i dużego rozpowszechnienia danych tydzień po nastąpieniu wycieku część poszkodowanych w ogóle o nim nie wiedziała.

Natomiast wczoraj, 23 kwietnia 2009 r., Dziennik Internautów informował o wycieku terabajtów danych dotyczących nowego amerykańskiego myśliwca. Skopiowano m.in. dane dotyczące projektu maszyny oraz informacje o jej systemach elektronicznych.

Powyższe sytuacje to tylko przykłady. Warto nadmienić, iż zgodnie z danymi opublikowanymi przez DI w lutym 2009 r. doszło do drastycznego wzrostu wycieków danych. Mając to na względzie, warto zadbać o odpowiednie bezpieczeństwo danych.


Następny artykuł » zamknij

Apple nie daje się kryzysowi

Źródło: DI24.pl
Komentarze
comments powered by Disqus
To warto przeczytać










  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.