Dane o ponad 5 tys. nieruchomości i ich właścicielach oraz blisko 6 tys. partnerach Biedronki były publicznie dostępne na serwerze popularnej sieci dyskontów. Dostęp do danych został zablokowany przez Biedronkę dopiero 30 godzin po zgłoszeniu tego faktu przez Dziennik Internautów.
reklama
Dane o przeszło 11 tys. osób i firm
Redakcja DI sprawdziła informacje przekazane przez Czytelnika. Faktycznie, wpisując odpowiedni - bardzo łatwy do skojarzenia z panelem administracyjnym - adres URL, otrzymywaliśmy dostęp do niezabezpieczonych danych. Jedynym "zabezpieczeniem" było to, że adres ten nie był podany publicznie na stronach Biedronki. Mogliśmy tam znaleźć informacje dotyczące niespełna 6000 dostawców Biedronki (branża, dane kontaktowe, liczbę pracowników oraz obroty w latach 2000, 2001, 2002).
Brak informacji od Biedronki
Rzecznik Biedronki potwierdził, że otrzymał e-mail. W trakcie rozmowy telefonicznej Dziennik Internautów poinformował przedstawiciela sieci sklepów o wrażliwych danych mnóstwa osób, jakie można znaleźć - zupełnie niezabezpieczone - na serwerze Biedronki. Niestety nasz rozmówca nie wykazał zainteresowania szybkim rozwiązaniem opisywanej sprawy. DI otrzymał od niego jedynie numer telefonu osoby, pod który pomimo kilkunastu prób nie udało nam się tego dnia dodzwonić.
Dostęp do panelu administracyjnego z danymi obecnych i potencjalnych kontrahentów tej firmy został zablokowany dopiero dziś, ok. godziny 14.50.
Dziennik Internautów wykonał kilka telefonów do przypadkowo wybranych osób, których dane znaleźliśmy na serwerze Biedronki. Odnieśliśmy wrażenie, że rozmówcy nie przejęli się zbytnio informacjami uzyskanymi od redakcji DI, że ich dane osobowe i kontaktowe oraz informacje majątkowe znajdowały się niezabezpieczone w serwisie sieci sklepów. Przyznali, że nie wiedzieli nic o zaistniałej sytuacji.
Z rozmów telefonicznych wynika, że osoby znajdujące się na wspomnianej liście danych raczej nie czują się poszkodowane przez Biedronkę. Jeden z rozmówców spytany czy czuje się pokrzywdzony mówi: "Tak bardzo to chyba nie. Liczę się z tym, że podaję te informacje, nie są jakieś utajnione."
Drugi rozmówca, którego dane znajdowały się na serwerze, stwierdził jedynie: "Nie jestem szczęśliwy z tego powodu, chociaż te dane (działki - przyp. red.) są ogólnodostępne. Ale z tego, co wiem, nie wyrażałem na to (ich udostępnienie - przyp. red.) zgody. Nie poniosłem jeszcze żadnej krzywdy z tego tytułu, ale nie jest to coś, czego bym się spodziewał i czego bym sobie życzył". Niektórzy z rozmówców zadeklarowali, że skontaktują się w tej sprawie z Biedronką w celu wyjaśnienia sytuacji.
Prawdopodobne uchybienia w zabezpieczeniach danych
Dziennik Internautów poprosił o opinię w opisywanej sprawie prawnika - Marcina Błaszyka z kancelarii Urowska i Wspólnicy/SLC, współautora bloga blaszyk-jarosinski.pl.
Marcin Błaszyk tłumaczy, że zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator tych danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zaś powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym.
Co istotne, zdaniem Błaszyka, "Fakt, iż jakakolwiek osoba, która nie posiada odpowiedniego upoważnienia, uzyskała dostęp do danych, świadczy o nie zastosowaniu przez administratora odpowiednich zabezpieczeń, które powinny być na tyle skuteczne, by zapewniały ochronę danych". Po czym dodaje:
Administrator ma również obowiązek prowadzenia stosownej dokumentacji, w której określa, jakimi środkami zabezpiecza dostęp do danych. W polityce bezpieczeństwa stanowiącej element tej dokumentacji, powinien określić między innymi zastosowane środki, które mają na celu zapewnienie poufności danych.
Dostęp do danych musi być chroniony
Marcin Błaszyk ponadto dodaje, że w ww. ustawie wprowadzono poziomy bezpieczeństwa danych osobowych i określono środki techniczne, jakie należy zachować dla odpowiednich poziomów:
W sytuacji, gdy co najmniej jedno urządzenie służące do przetwarzania danych jest połączone z siecią publiczną, a z taką sytuacją mamy najprawdopodobniej do czynienia, stosuje się wysoki poziom zabezpieczeń. Już najniższy poziom wymaga jednak kontroli dostępu poprzez system logowania przy użyciu unikalnych loginów i haseł.
Można więc przypuszczać, że w opisywanej sprawie nie zastosowano wymaganych zabezpieczeń.
Co ważne, osoba, której dane zostały udostępnione osobom nieupoważnionym, mogłaby domagać się od Biedronki, jako administratora danych, odszkodowania lub zadośćuczynienia za doznaną krzywdę na drodze postępowania cywilnego.
OPINIA GIODO
Dziennik Internautów skontaktował się również z biurem prasowym Generalnego Inspektora Danych Osobowych. Rzeczniczka GIODO poinformowała redakcję Dziennika Internautów, że Jeronimo Marins Dystrybucja S.A. z siedzibą w Kostrzynie właściciel sklepów sieci Biedronka, nadesłała do rejestracji następujące zgłoszenia zbiorów danych osobowych:
Postępowania w sprawie zbiorów o nazwach „JDM – BAZA MARKETINGOWA” i „ZBIÓR REKRUTACYJNY JDM” zakończone zostały wydaniem decyzji o odmowie rejestracji zbioru oraz umorzeniu postępowania. Postępowanie dotyczące zbioru danych o nazwie „KLIENCI” zakończone zostało wpisem tego zbioru do rejestru zbiorów danych osobowych, natomiast postępowania w sprawie zbiorów o nazwach „OBDAROWANI” oraz „KIEROWCY” nadal pozostają w toku.
Ponadto GIODO poinformował, że zgodnie z ustawą o ochronie danych osobowych, każdy administrator przetwarzający dane osobowe powinien legitymować się jedną z przesłanek legalizujących przetwarzanie danych (art. 23 ust. 1 ustawy), np. zgodą osoby, której dane dotyczą, oraz obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zamianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy).
Drastyczny wzrost wycieków danych
Na przestrzeni ostatnich miesięcy, a nawet dni dochodziło do wycieku ważnych danych. Przypomnijmy chociażby głośną sprawę z lipca 2008 roku, kiedy to z serwera banku Pekao S.A. wyciekły dane z ponad tysiąca CV. Pomimo nagłośnienia sprawy i dużego rozpowszechnienia danych tydzień po nastąpieniu wycieku część poszkodowanych w ogóle o nim nie wiedziała.
Natomiast wczoraj, 23 kwietnia 2009 r., Dziennik Internautów informował o wycieku terabajtów danych dotyczących nowego amerykańskiego myśliwca. Skopiowano m.in. dane dotyczące projektu maszyny oraz informacje o jej systemach elektronicznych.
Powyższe sytuacje to tylko przykłady. Warto nadmienić, iż zgodnie z danymi opublikowanymi przez DI w lutym 2009 r. doszło do drastycznego wzrostu wycieków danych. Mając to na względzie, warto zadbać o odpowiednie bezpieczeństwo danych.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|