14:11
22/5/2017

Advertisement

Informatyk nielegalnie wykorzystał bazę danych osobowych, do której miał dostęp w pracy. O śledztwie w tej sprawie poinformowała Prokuratura Okręgowa w Warszawie. Baza warta ok. 110 mln złotych ciągle jest w bezprawnym obrocie.

Śledztwo, o którym poinformowała PO w Warszawie, dotyczy nie tylko kradzieży bazy danych osobowych. Zamieszany w sprawę informatyk tworzył również strony internetowe (tzw. landing page), dzięki którym sam zbierał dane. Według organów ścigania sprzedał on co najmniej 56 tysięcy rekordów dotyczących osób z terenu Hiszpanii oraz 2 tysięcy rekordów dotyczących osób z terenu Polski. Kilkanaście razy udostępnił firmom marketingowym rekordy dotyczące od 250 do 2 tysięcy osób z terenu Polski, Czech i Hiszpanii. Te próbki były elementem oferty sprzedaży całej bazy danych.

W ramach tej sprawy  11 maja 2017 policja dokonała przeszukań w 6 miejscach na terenie województwa łódzkiego oraz przesłuchań świadków na terenie 5 innych województw. W toku przeszukań zatrzymano m.in.: 5 komputerów i twardych dysków. W Łodzi zatrzymano podejrzanego Konrada K., któremu prokurator z Warszawy ogłosił zarzuty. Dotyczą one:

  • bezprawnego ujawnienia informacji (art. 266 par. 1 kodeksu karnego),
  • oszustwa (art. 286 par. 1 kodeksu karnego),
  • niedopuszczalnego przetwarzania danych osobowych (art. 49 ust. 1 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych),
  • udostępnienia danych osobowych osobom nieuprawnionym (art. 51 ust. 1 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych),
  • niezgłoszenia zbioru danych do rejestru (art. 53 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych),
  • niepoinformowania o prawach osoby, której dane są przetwarzane (art. 54 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych).

Konrad K. przyznał się do popełnienia zarzucanych mu czynów. Prokurator zastosował wobec niego dozór Policji  z obowiązkiem stawiennictwa trzy razy w tygodniu, poręczenie majątkowe (20 tysięcy złotych), a także zakaz opuszczania kraju połączony z odebraniem paszportu.

Szkoda tylko, że organy ścigania nie poinformowały o jaką firmę chodzi. Oczywiście trzeba chronić pokrzywdzonego, ale w tym przypadku doszło do czegoś w rodzaju wycieku. Pokrzywdzonymi są – w pewnym sensie – także osoby, których dane ukradziono i przekazano dalej. Postaramy się dowiedzieć o jaką firmę chodzi, a jeśli nasi Czytelnicy coś wiedzą to prosimy o cynk i gwarantujemy anonimowość.

Przeczytaj także:



49 komentarzy

Dodaj komentarz
  1. 110 mln?
    Ciekawe jak to zostało oszacowane?

  2. Skąd wycena na pozimie 110 mln zl? Ktoś aż tyle zapłacił za dane?

  3. 110mln za 56k rekordów do marketingu ? Kto to wycenia i na jakiej podstawie?

    • Marketingowcy ;-)

    • No właśnie. Chyba, że baza zawierała milion rekordów, a gość skopiował tylko 56k. Bo wycena wydaje się wzięta kompletnie z kapelusza.

    • no i doczytałem, że baza miała 2miliony rekordów; jeśli dane były dobrej jakości, to przestaje być to takie od czapy

  4. Dzień dobry nawiązaliśmy kontakt jak pracowałem w banku x teraz pracuję w y i mamy super warunki…. :D
    Cześć zmieniłem miejsce pracy mamy super asortyment mogę ci zrobić dobre ceny…. :D
    Pracowałem w firmie xx mam doświadczenie i umiejętność że hoho no i mam bazę klientów tamtej firmy których obsługiwałem i mogę ich ściągnąć…. :D
    .
    .
    .
    .

    No a poza tym to fajnie że mamy ustawę o ochronie danych :D

    • Mamy też dużo innych ustaw. I co z tego.

  5. Gdzie widzialem ze ta baza to niby 2mln rekordow. Zastanawia mnie skad wartosc 110mln?
    To lekko ponad 50pln za rekord, skad taka wycena?
    Ktos sie chce dorobic

    • Są bazy z Janami Kowalskimi a są np. takie z numerami telefonów do prezesów największych spółek giełdowych. Sam padłem ofiarą wycieku i miałem już telefon z ofertą od konkurencji.

  6. przypadkiem firma której dane wyciekły nie powinna poinformować o tym swoich klientów?

    • Tylko porządna, a takich w PL nie ma lub są pochowane jak igła w stogu siana.

    • Netia tak zrobiła :)

    • Netia? Napisałem kiedyś maila z pytanie o możliwość przyłącza. Zaznaczyłem, że zezwalam tylko na jednorazowy kontakt i tylko w tej jednej sprawie. Po roku dowiedziałem się że mój e-mail jest na liście wycieku z Netii. Dowiedziałem się dostając masę spamu. Brawo Netia, porządna firma.

    • @Natia – szukasz dziury w całym na siłę… Był od nich kontakt drugi raz? Pewnie trafiło do bazy jakiegoś systemu nawet jak mieli się kontaktować tylko raz…. P

    • @maslan: żadne czepianie, przechowywanie danych jest ich przetwarzaniem, więc skoro zgoda była na jednorazowe użycie danych, to po tym powinny zostać usunięte. Oczywiście mało która firma jest na tyle uczciwa żeby dane usunąć i za często po kilku latach na rzekomo usunięty adres e-mail dociera info/reklama lub jest info o wycieku.

    • skoro prosisz, żeby Twojego adresu e-mail nigdy nie użyli, to muszą go przechowywać, żeby wiedzieć do kogo nie pisać. ps. mogły wyciec logi serwera SMTP :)

    • netia podpada pod przepisy dla telekomów, które mają obowiązek informowania klientów o wyciekach danych; inne firmy w myśl obecnie obowiązujących w PL przepisów nie mają takiego obowiązku (afaik). Choć muszą zawiadomić giodo (afair).

  7. Frustrat z jednej z polskich biedronek informatycznych.

  8. @Artur – masz na myśli sprawę z lipca 2016? A tam czasem najpierw baza nie trafiła do sieci zanim się łaskawie przyznali (dopiero w drugim zaktualizowanym oświadczeniu)?

  9. Jest info ile ten kolezka mial lat? Jakie dokladnie stanowisko zajmowal? Ile lat tam pracowal? Bardzo skromne info a temat w miare ciekawy sie wydaje jak na newsa.

  10. W toku przeszukań zatrzymano komputer. Czy komputerowi odczytano prawo do obrońcy? Sprzęt można zabezpieczyć nie zatrzymać.

    • Odcięli mu prąd, to się zatrzymał ;-P

    • zatrzymać — zatrzymywać
      1. «spowodować, że coś przestanie się poruszać»
      2. «spowodować, że coś przestanie funkcjonować»
      3. «zahamować rozwój lub przebieg czegoś»
      4. «nie pozwolić komuś odejść skądś»
      5. «zachować coś dla siebie lub dla kogoś»
      6. «uniemożliwić wydostanie się czegoś na zewnątrz»
      7. «aresztować kogoś do czasu wyjaśnienia sprawy»
      8. «na mocy prawa, odebrać komuś rzecz, której posiadanie lub użytkowanie jest nielegalne»

  11. Jak go przyłapano?

  12. “W Łodzi zatrzymano podejrzanego Konrada K., któremu prokurator z Warszawy ogłosił zarzuty. Dotyczą one:

    niezgłoszenia zbioru danych do rejestru (art. 53 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych)” – rozbawiło mnie to dokumentnie xD. No taaaak, przy okazji oszustwa jeszcze nie zgłosił rejestru do GIODO…. ;-)

    • Myślę, że tu raczej chodziło o to, żeby postawić mu wszystkie zarzuty jakie tylko się da żeby potem było o co oprzeć odpowiednio wysoką karę ;)

  13. A mnie bardziej interesują motywy jego działania. Przecież nie był takim idiot aby nie przewidzieć że będzie mógł być złapany/odnaleziony. Taki czyn zostawia smród na całe życie w karierze… nikt go jako Informatyka nie zatrudni. Więc dlaczego? Dla pieniędzy? Dla “sławy”?, cherchez la femme? No chyba że była to kolejna ckliwa historyjka typu: Jack of all trades zarabiający u Janusza biznesu “Panie całe dwa tysiunce dam” bohatersko dochodzi zapłaty za nadgodziny… Wbrew pozorom prawdziwych wyrachowanych złoczyńców informatycznych jest w Polsce niewiele …. trzeba badać motywy tych pozostałych co wchodzą na… ciemną stronę mocy :-)

    • > A mnie bardziej interesują motywy jego działania.
      > Przecież nie był takim idiot aby nie przewidzieć że
      > będzie mógł być złapany/odnaleziony.

      I ja myślę podobnie.

      > Taki czyn zostawia smród na całe życie w karierze…
      > nikt go jako Informatyka nie zatrudni.

      A to dlaczego? Wiadomo o nim tylko tyle, że nazywa się Konrad K.

      Po zatarciu skazania bez problemu znajdzie pracę (a nawet przed zatarciem, bo tylko w niektórych przypadkach wolno pracodawcy żądać zaświadczenia o niekaralności). Zawsze też może zmienić nazwisko.

    • @Marcin – jeśli był zatrudniony na umowę o pracę, to ma problem (świadectwo pracy z dyscyplinarką). Jak robił na działalność, to raczej nie będzie miał problemu ze znalezieniem roboty.

  14. Hm, cały ten tekst wygląda na produkcję z kategorii – dzwonili, ale nie wiemy gdzie, kto i po co. 110mln ? Czyli to dane z obszaru Private Banking, bo nie chodzi chyba o zamówienia na wizytówki.

  15. Do osób zastanawiajacych się skąd szacunkowa wartość – mikko hypponen o tym mówił na sakura stage zdaje się. Unia Europejska pomogła kryminalistom :)

    • Mógłbyś to rozwinąć?

    • Pewnie chodzi o b. wysokie kary za złamanie prawa UE GDPR.

  16. Za rok wchodzi GDPR, wtedy ta firma będzie musiała to ujawnić i poinformować wszystkich poszkodowanych.

    • Jak by obowiązywało GDPR to raczej już by się pakowali… Kary jakie są możliwe rozłożą takie śmieszne firmy marketingowe

  17. Czyli koleś musiał też być w firmie ABI, skoro jednym z jest niezgłoszenie zbioru danych do rejestru, bo to zazwyczaj jest kwestia zarządu firmy.

    • Niekoniecznie, art 53 mówi “Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru
      danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
      do roku.”

      Powołanie ABI zdejmuje obowiązek z ADO jeśli chodzi o dane osobowe zwykłe, a więc ten art nie byłby wymieniony gdyby był powołany ABI.

    • Chyba, ze chodzi o to, że nie zgłosił tej swojej kopii bazy :D

      Źródło danych: nielegalna kopia. Ciekawe, co w giodo by zrobili

    • Obowiązek zgłoszenia zbioru spoczywa na ADO. Jeśli ABI jest zgłoszony w rejestrze to nadal ADO musi zgłaszać zbiory danych sensytywnych. Na wniosku podpisuje się ADO, nie ABI. Odpowiedzialność ABI jest tutaj żadna. Dwa ostatnie artykuły, z których niby ma ten gość odpowiadać są bezpodstawne. ABI powinien zgłosić incydent, jeśli zostały naruszone dobra i wolności osób, których dane dotyczą (a raczej tak było). W RODO – trzeba będzie dodatkowo powiadomić te osoby, chyba że zastosowało się odpowiednie środki techniczne, uniemożliwiające odczyt tych danych (pseudonimizację, szyfrowanie)

  18. o skurwesyn 110mln, też bym się chyba skusił i podpie#$$% taką bazę :)

  19. Tak czy siak. Wpadł. Grześ zrobił błąd. Tylko że nie rozumiem w jaki sposób wyceniono te bazę.

    • Nie “Grześ” tylko gdzieś zrobił błąd.

  20. I co w tej sprawie pomógł kolejny rozsadnik budżetowych posad z wynagrodzeniami oderwanymi od realiów GIODO ? W czasach gdy kopię dokumentu można zrobić w kilka sekund telefonem i przesłać na drugą półkulę to człowiek powinien być chroniony a nie jego dane …

    • Człowiek *i* jego dane. Wiele danych nie powinno być w ogóle zbieranych. Zlikwidować dowody osobiste, PESEL-e, polikwidować i odchudzić rejestry i ewidencje państwowe, znieść obowiązek meldunkowy, REGON i inne relikty PRL-u. Od razu będzie mniej danych do wycieku. A numery identyfikacyjne typu NIP powinno dać się zmienić w uzasadnionych przypadkach, tak jak numer ubezpieczenia społecznego w USA.

  21. “Po zatarciu skazania bez problemu znajdzie pracę” – Marcin Z. – wszystko zależy gdzie to zrobił… hack w wielkim mieście to co innego niż w małej pipidówie gdzie wszyscy wszystkich znają i komunikacja “pozaoficjalna” stoi na wysokim poziomie. W takim miejscu spali się wszystkie mosty… w pewnym sensie dobrze jeśli z wrogami na nich :-)
    Ale nadal motywy takich działań są ciekawe. Może byłby to kubeł zimnej wody na niektórych pracodawców.

    • Motyw? Zarobki na poziomie średniej krajowej i brak inwestycji w bezpieczeństwo wszak to zbędny koszt

  22. 20 tysięcy poręczenia majątkowego przy bazie danych za 110 milionów? Niezła dysproporcja.
    Oczywiście stosowanie środka zabezpieczającego jakim jest tymczasowe aresztowanie byłoby tu nadmierne, ale mimo wszystko prokurator chyba nie ocenił prawidłowo.

  23. Ciekawe czy chodzi o Alle.. chociaż tam baza byłaby chyba większa

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: