Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Enigmatyczne naruszenie bezpieczeństwa w polskim T-Mobile. System MIBOA i nieautoryzowany dostęp do danych.
Jeden z czytelników poinformował nas o wiadomości e-mail, którą otrzymał od T-Mobile (adres nadawcy: boa@t-mobile.pl; wytłuszczenie – sekurak):
Zgodnie z wymaganiami Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Art. 174a ust.3) oraz Artykułu 34 RODO informuję, że z uwagi na powstały błąd po naszej stronie w samoobsługowym serwisie MIBOA osoba nieupoważniona miała dostęp do Pana danych osobowych dla numeru telefonu <mój numer> w postaci: imię, nazwisko, adres, numer telefonu, adres e-mail, a także mogła mieć dostęp do historii faktur i połączeń dla ww. numeru. Jest nam niezmiernie przykro z powodu zaistniałej sytuacji. Jednocześnie potwierdzam, że powstały błąd został już niezwłocznie naprawiony.
Ponadto informuję, że powyższe naruszenie może powodować prawdopodobieństwo wysokiego ryzyka negatywnych skutków dla Pana danych poprzez nieuprawnione wykorzystanie ich np. w celu:
– założenia z użyciem Pana danych osobowych konta internetowego (np. w serwisie społecznościowym)
– wykorzystania Pana danych w celu wyłudzenia dodatkowych danych lub informacji ( np. danych do logowania, szczegółów karty kredytowej).
– wykorzystania ich w sposób naruszający Pana dobra osobiste. (…)
Przed publikacją na sekuraku poprosiliśmy biuro prasowe T-Mobile o kilka dodatkowych wyjaśnień:
1) Ile szacunkowo osób zostało dotkniętych incydentem?
2) Czy nieautoryzowany dostęp do danych uzyskała tylko jedna osoba / czy może więcej osób?
3) Jakiego zakresu dat dotyczy incydent? (tj. dane z jakiego zakresu dat mogły wyciec?)
4) Proszę o dodatkowe szczegóły techniczne dotyczące incydentu (m.in. na czym polegał wskazany błąd)
5) Jaki podjęli Państwo kroki w celu minimalizacji skutków incydentu dla Państwa klientów?
Po około 24h otrzymaliśmy dość ogólną odpowiedź:
Powiadomienia tego rodzaju są jednym z elementów realizacji obowiązków administratora danych, związanych z ochroną danych osobowych. Obowiązki te wynikają z RODO, a także z naszych wewnętrznych polityk i procedur bezpieczeństwa. Mając na uwadze bezpieczeństwo danych naszych klientów i obowiązujące nas przepisy, niezwłocznie informujemy klienta o nieuprawnionym dostępie do jego danych oraz możliwych skutkach.
Wskazany incydent dotyczył sytuacji, w której nieautoryzowany dostęp do danych uzyskała jedna osoba. Dane klienta zostały natychmiast zabezpieczone. Podjęliśmy również działania blokujące możliwość wystąpienia takiej sytuacji w przyszłości.
Szkoda, że nie otrzymaliśmy wprost informacji ile osób mogło być dotkniętych incydentem, szczególnie że zakres danych, które dostały się w niepowołane ręce jest dość newralgiczny. Jeszcze raz zacytujmy:
(…) osoba nieupoważniona miała dostęp do Pana danych osobowych(…): imię, nazwisko, adres, numer telefonu, adres e-mail, a także mogła mieć dostęp do historii faktur i połączeń dla ww. numeru
Jeśli dostaliście podobnego e-maila – dajcie znać.
~Michał Sajdak
Zadaliście tak te pytania że żaden IOD wam na to wprost nie odpowie….Bo nie musi. Nie jesteście stroną postępowania.Nawet jeżeli ktoś z Was jest osobą dotknięta tym „wyciekiem” i dostał takie pismo.
IOD musi się z tego wyspowiadać tylko przed Prezesem Uodo.
Generalnie rzecz biorąc jak ktoś nie chce, to nic nam nie musi odpowiedzieć, ale może :-)
Generalnie jak się pytasz w mięsnym o cenę kaszanki to to obsługa nie poda ci ile kaszanki ma jeszcze na magazynie i ile już dzisiaj sprzedała, ale może. :-)
Tylko art. 34 RODO ust. 2 – mówi, że zawiadomienie powinno przynajmniej zawierać informacje i środki o których mowa w art. 33 ust. 3 lit. b), c) i d)
b) – imię, nazwisko oraz dane IOD-a lub inny punkt kontaktowy (skrót)
c) – możliwe konsekwencje (skrót)
d) – opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków (cytowanie całości)
Jeżeli treść informacji dla użytkowników jest w całości podana na Sekuraku, to brakuje b) oraz d) a właśnie o d) pytał się Sekurak
Administrator po części (b,c,d) powinien się także wytłumaczyć użytkownikowi, którego dane wyciekły.