Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czytelnik zgłosił nam nietypowy incydent… w przesyłce zawieruszyły się wydruki maili firmy kurierskiej. A na wydrukach login i hasło…

24 marca 2021, 13:50 | W biegu | komentarzy 25

Historia wydaje się wręcz nieprawdopodobna – nasz czytelnik otrzymał przesyłkę kurierską, a w środku znalazł kilka stron wydruków e-maili firmy kurierskiej, która dostarczyła przesyłkę (DPD).

Co więcej, na jedynej stronie był startowy login oraz hasło dostępowe do pewnego systemu:

Skontaktowaliśmy się z DPD, otrzymując niemal natychmiastową odpowiedź (brawo!):

(…) na szczęście i m.in. dzięki współpracy z Securitum wdrożyliśmy MFA. Konta zaraz będą po resecie.

Tutaj jak widać sam login i hasło by nie wystarczył – konta są zabezpieczone dodatkowym czynnikiem uwierzytelniającym (poza hasłem).

Poprosiliśmy również o komentarz panią Małgorzatę Maj (będącą rzecznikiem prasowym DPD) i otrzymaliśmy taką odpowiedź:

Rzeczywiście doszło do wspomnianego przez Państwa zdarzenia. Natychmiast zastosowaliśmy  procedury bezpieczeństwa przeciwko incydentom dotyczącym prób nieautoryzowanego dostępu i w związku z tym na szczęście do nich nie doszło. Na podstawie analizy naszych systemów informatycznych incydent nie został uznany za obarczony ryzykiem naruszenia danych osobowych, m.in. dzięki temu, że systemy DPD Polska są wyposażone w mechanizmy wieloskładnikowego uwierzytelniania (całość bazuje na scenariuszach Conditional Access).

Osoby, które przyczyniły się do zdarzenia (a niestety zawinił czynnik ludzki), zostały pouczone w zakresie procedur związanych z bezpieczeństwem danych. W DPD Polska przykładamy ogromną wagę do ochrony danych osobowych. Wszelkie sygnały o możliwości ich naruszenia są dla nas także okazją do usprawnienia systemów bezpieczeństwa i wprowadzenia dodatkowych szkoleń dla pracowników.

Podsumowując – całość to rzeczywiście dość nietypowe wydarzenie. Reakcja DPD była naprawdę bardzo szybka – kwestia dosłownie minut od naszego zgłoszenia. W całości pomogła również otwartość podejścia DPD (a niebawem dzięki tej otwartości dostarczymy Wam kolejny ciekawy content).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. „zawieruszyły” XD

    Odpowiedz
  2. Szałpał

    Takie zachowanie (tego czytelnika) mnie zirytowało. Jeżeli znalazł takie dane to nie powinien ich rozpowszechniać dalej
    tylko jaknaszybciej powiadomić o tym DPD(bez pośredników) i zniszczyć przesłane dokumenty ale może chciał zaistnieć na portalu, wg. mnie złamał prawo

    Odpowiedz
    • Marek

      Zgłoszenia przez pośredników to w Polsce norma, ludzie nie kontaktują się bezpośrednio żeby nie narażać się na ewentualne przykrości – nie każda firma jest wdzięczna za tego typu zgłoszenia.

      Odpowiedz
      • Jacek

        Dokładnie

        Odpowiedz
    • Michał

      Które prawo? Łamanie prawa to nie kwestia poczucia tego czy ktoś postąpił słusznie czy też nie, a kwestia przepisów. Jaki przepis miałby tu złamać? jedyne co jakoś potencjalnie przychodzi do głowy to ustawa o zwalczaniu nieuczciwej konkurencji, ale również ciężko tu znaleźć normę, która mogłaby zostać naruszona.

      Odpowiedz
    • Klapek

      Wydaje mi się, że takie zgłoszenie od typowego szaraczka support potraktowałby jako żart a sprawę zignorował.

      „na szczęście i m.in. dzięki współpracy z Securitum”

      DPD najpewniej zareagowało tak szybko tylko dlatego, że mieli dodane e-maile Securitum do jakiejś ważnej listy, wierzyć mi się nie chce, że zareagowaliby tak szybko na zgłoszenie wysłane przez osobę z ulicy.

      Odpowiedz
    • Bartosz

      A skąd wiesz że to nie czytelnik to zdjęcie ocenzurował?

      Odpowiedz
      • Abc

        A skąd wiesz że tego nie zrobił? Pytanie to zostanie pewnie bez odpowiedzi :) chociaż „myślę” że były „gołe”

        Odpowiedz
    • Kowalsky

      Zwykły Kowalski może co najwyżej zadzwonić sobie na infolinię, gdzie niekompetentny pracownik przyjmie temat do wiadomości i albo oleje temat, albo prześle dalej a sprawa będzie się ciągnęła tygodniami o ile w ogóle trafi do osób kompetentnych.
      Dlatego zwykły Kowalski woli napisać do powszechnie znanego portalu zajmującego się bezpieczeństwem o dobrej reputacji, który ma lepsze dojścia i jest w stanie pomóc firmie i poinformować kogo trzeba z odpowiednim przebiciem.
      Czytelnik zrobił najlepsze co mógł zrobić, bo pracownicy niższego szczebla mogliby jeszcze wykorzystać przekazane dane.

      Odpowiedz
      • Rzeczywiście już abstrahując od tego przypadku – ludzie (również techniczni) mają duży problem – z dotarciem do konkretnych osób w danej firmie – do których mogą zgłosić incydent.
        My w ramach sekuraka mamy to mocno uproszczone. To raz.

        A dwa – w Polsce rzeczywiście cały czas sporo osób obawia się, że zostanie postraszona prawnikami.

        Odpowiedz
    • asdsad

      Ale śmieszne. Ła. Ha. Ha.
      20 minut słuchałby melodyjki na infolinii, a potem byłby zlewany przez kolejne osoby. Tyle by wskórał.

      Odpowiedz
      • hvh

        Jeszcze sluchajac melodyjek zdazyliby mu wcisnac garnki i pierzyne z puchem xD

        Odpowiedz
    • John

      Po pierwsze, nie miałbyś wówczas czego czytać. Po drugie Sekurak ma większą siłę przebicia.

      Odpowiedz
  3. Disturbed

    Leppiej, że to tak zadziałało, jakby ktoś miał zamiatać sprawę wewnętrznie pod dywan. Oby na serio kogoś z nieIT postawili na nogi, bo nie chcemy swoich danych w randomowych przesyłkach :-)

    Odpowiedz
  4. Patryk

    Dokładnie Szałpał!
    Czemu za łamanie prawa w Polsce kogoś się nobilizuje?
    Takie zdjęcia nigdy nie powinny wypływać poza obieg osób które są uprawnione – po to całe RODO jest. To też bym wam polecał opisać, że wysyłka do was w ten sposób łamie zapisy RODO i można przypuszczać że zaczną się za to sprawy sądowe o odszkodowanie. Jeśli taka informacja jest podana to nie może być danych/zdjęć przekazywanych. Tekst jest ok, po to się czyta natomiast tego typu zdjęcie osoba niepowołana uzyskała i wykorzystała z premedytacją. Tu jednak poszło to za daleko i poziom dziennikarstwa w tym tygodniu zmalał ;/ Może następnym razem będziecie o tym informować? jak taki kontakt z wami ma wyglądać w zgodzie z literą prawa? czy lepiej tanio łapać takie newsy i nie martwić się co do maila wpada… zawsze u was może też „wypłynąć” bo wiecie że nic nie jest bez błędów…

    Odpowiedz
    • chs

      Ale jakie znowu łamanie prawa? Przecież czytelnika z danymi w mailu nic nie wiąże. Nie ukradł, nie prosił o nie, nie ma umowy powierzenia przetwarzania itd. Ot sobie coś przyszło. Mógł zniszczyć, mógł dać znać DPD i liczyć, że ktoś się tym przejmie, ale też ryzykować że druga strona zgłosi to na policję i będzie zabawa w przesłuchania (niby niewinne, ale strata czasu i stres). A mógł tematem zainteresować media, które zrobiły co trzeba. Ponadto nie wiemy, kto dane zaciemnił. Jeśli był to czytelnik, to wtedy nawet nie można się czepiać ujawniania. Nie znając szczegółów łatwo jest rzucać oskarżenia.
      Brawo dla Sekuraka za wsparcie w obsłudze incydentu!

      Odpowiedz
    • Z ciekawości – które dokładnie prawo złamał czytelnik?

      Odpowiedz
    • Maja

      RODO nie obowiązuje osób prywatnych. Stosowanie RODO za to obowiązuje w firmach i taki przypadek nie miał prawa mieć miejsce. A skoro miał to powinien być zgłoszony do firmy, że naruszono dostęp do danych osobowych. I zwykła osoba raczej nie wie co robić w takiej sytuacji, więc lepiej, że to zgłosiła tak a nie olała tematu. Też z chęcią poznam jaki paragraf został złamany przez czytelnika bo ja tu nie widzę żadnego naruszenia prawa. Trafiły do niego informacje, które nie powinny i podjął działanie w celu poinformowania firmy o incydencie. A teraz DPD będzie musiało poinformować UODO o takim incydencie bo na nich obowiązek nakłada ustawa o RODO.

      Odpowiedz
  5. Parek

    No to może skoro to się tak już toczy to może SEKURAK opisałby czy zaistniała sytuacja odbyła się zgodnie z prawem RODO 😂 A kto zaciemnił ściemnił to pewnie teraz się nie dowiemy. Tylko opisując specjaliście od tych „trudnych spraw” możemy uzyskać rzetelna informację

    Odpowiedz
    • Nie wiem o co dokładnie pytasz ;) ale RODO nie dotyczy działań osób prywatnych (w sensie prywatne osoby nie muszą w swoich działaniach być zgodne z RODO)

      Odpowiedz
      • Parek

        Czyli rozumiem że mógłbym je rozesłać komukolwiek?

        Odpowiedz
        • nie chcemy decydować za Ciebie…

          Odpowiedz
        • Adam

          Dostałeś kartkę i co z nią zrobisz zależy od ciebie. Chcesz rozsyłać – rozsyłaj.

          Odpowiedz
  6. Michał

    Potwierdzam. Lepiej przez pośrednika. Raz coś takiego zgłosiłem wprost i nigdy więcej.

    Odpowiedz
  7. To sie nadaje do prasy

    … jak mawial aktor „Gargamel” w szpitalu w „Czterdziestolatku”.

    Natomiast powaznie mowiac: niestety, bez pomocy mediow lub znanej firmy zgloszenie incydentu lub niebezpiecznych procedur jest zbyt czesto pozostawiane bez skutecznej reakcji.

    Pisze z doswiadczenia.

    Odpowiedz

Odpowiedz