Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Grindr – Norwegia planuje nałożyć na tę aplikację randkową gigantyczną karę – aż ~10% rocznego, światowego obrotu. „Śmiertelne naruszenie RODO”.

26 stycznia 2021, 19:52 | W biegu | komentarzy 8

Od czego by tu zacząć… może od tego że oczywiście to nie aplikacja dostanie ewentualną karę, a firma, która za nią stoi. Sama aplikacja zbiera niezmiernie wrażliwe dane, a kierowana jest do osób GBTQ:

online dating application for gay, bi, trans, and queer people

O co chodzi? O dzielenie się danymi użytkowników z innymi podmiotami w celach marketingowych. Oczywiście takie „dzielenie” może mieć miejsce, ale tylko jeśli użytkownik wyrazi na to bardzo jasną zgodę. Tego jednak zabrakło:

(…) unlawful sharing of personal data with third parties for marketing purposes. The data shared include GPS location, user profile data, and the fact that the user in question is on Grindr.

Jeden z szefów norweskiego UODO – Bjørn Erik Thon – dodaje jeszcze inne podsumowanie – dane użytkowników platformy były wysyłane do nieznanej liczby zewnętrznych podmiotów, a fakt ten był ukrywany.

Grindr is seen as a safe space, and many users wish to be discrete. Nonetheless, their data have been shared with an unknown number of third parties, and any information regarding this was hidden away, Thon added.

Na koniec odpalony zostaje RODOwy ładunek termonuklearny:

We have notified Grindr that we intend to impose a fine of high magnitude as our findings suggest grave violations of the GDPR.

Proponowana kara to w przeliczeniu na złote ~43 000 000 PLN, czyli około 10% rocznego obrotu właściciela aplikacji.

Aby z tego newsa wyciągnęły trochę ciekawych informacji również osoby techniczne, wspomnę o ciekawym bugu w Grinderze z końcówki 2020 roku. Otóż można było zresetować hasło dowolnemu użytkownikowi, znając zaledwie jego e-mail. W jaki sposób? Otóż mechanizm resetu hasła (jak to mechanizm resetu hasła) wysyłał link ze stosownym kodem do danego użytkownika, ale jednocześnie kod ten był prezentowany w odpowiedzi HTTP – dla osoby, która takie resetowanie hasła zainicjowała (np. z poziomu przeglądarki webowej). Dla osób, które wolą bardziej graficzne opisy – bardzo proszę.

Jeśli w podobny sposób wygląda podejście Grindera do procedur czy bardziej prawnych wymogów GDPR, to trudno dziwić się norweskiemu regulatorowi w temacie proponowanej kary…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. „RODOwy ładunek termonuklearny” ha ha ha ha ha ha ha. Zajebiste! :D

    Odpowiedz
    • ciastek

      no ładne heheszki, ale poczekamy, aż uodo dopadnie się do serwisu Szanownego Pana Adama, to ja też się pośmieję,a przypominam, ten regulator nie zna litości, 0-daye dla nich nie istnieją, ludzkie błędy? nie istnieją, jest tylko kara i koniec :)

      Odpowiedz
  2. smrodo

    osobiście uważam karę za niewspółmierną do czynu, mam wrażenie, że życie ludzi powoli staje się mniej ważne niż profilowanie reklam dla nich, to smutne, że ludzie musza walczyć o grosze z powodu śmierci członka rodziny przez wiele lat, a tu przychodzi sobie jakiś uodo i wali kary z kosmosu w sumie za nic, obrzydliwa dyrektywa

    Odpowiedz
    • ziutek

      Ja uważam za obżydliwe wyświetlanie na 3/4 strony reklam. W starych czasach niezabezpieczonego internetu nie było czegoś takiego. Dziś te dane nie tylko są wykorzystywane by profilować reklamy ale żeby wysyłać niezamówiony treści e-mialem (jak by spamu było mało), SMSem a jak dobrze by poszło to zapychają skrzynkę poczty polskiej. Jeszcze kiedyś można było palić w piecu czym popadnie ale teraz to nie jest eco by palić spamem z poczty. Do tego dochodzą chociażby numery telefonów, które mogą być wykorzystywane przez niecnych ludzi aby robić pishing i inne cuda by tylko pozbawić cię resztek godności jakie zostały ci na koncie w banku.

      Odpowiedz
    • andro

      Ta kara jest jak najbardziej współmierna, bowiem mówimy tutaj o dosyć wrażliwej aplikacji z wrażliwą społecznie klientelą. Wystarczy wspomnieć o przypadku sprzed kilku lat, kiedy to egipska policja za pomocą triangulacji aresztowała mężczyzn korzystających z Grindra pod zarzutem homoseksualizmu. Teraz okazuje się, że Grindr przekazuje dane z GPSa, dane profilowe i informację, że dana osoba jest użytkownikiem Grindra… nie wiadomo komu. W skrajnym przypadku aparat państwowy może zebrać te dane i wykorzystywać je do szantażu lub, jak w Egipcie, do aresztowania. Tutaj użytkownicy oczekują, że ich dane będą chronione – bo to nie jest kwestia tylko profilowania reklam, ale także fizycznego bezpieczeństwa.

      Odpowiedz
    • Nism0

      Chyba sobie nie zdajesz sprawy, ile firma prawpodobnie zarobiła na handlu tymi danymi…

      Odpowiedz
  3. Grzegorz

    To dobry tekst jest:
    „Na koniec odpalony zostaje RODOwy ładunek termonuklearny:”

    Jeśli tego nie opatentujecie to będę tego używał na moich szkoleniach ;-)

    Pozdrawiam.

    Odpowiedz
    • śmiało używaj :) najwyżej jak możesz, to daj * – podpatrzone na sekurak.pl

      Odpowiedz

Odpowiedz