10:55
4/4/2017

Jak informuje nas jeden z czytelników, w dniu wczorajszym kancelaria Leśnodorski Ślusarek i Wspólnicy wysłała do swoich klientów e-maila o zmianie adresu siedziby. Niestety, ktoś zamiast BCC użył CC i ponad 1000 odbiorców poznało swoje adresy e-mail. Błąd, jakich wiele — ale w przypadku kancelarii prawnej, może być boleśniejszy niż w przypadku zwykłej firmy.

Nie chodzi tylko o ryzyko “podkradzenia” klientów przez konkurencję, jeśli wejdzie ona w posiadanie listy odbiorców e-maila. Z kancelariami prawnymi kontaktują się z reguły osoby “decyzyjne”. Taka lista może komuś wskazać, kto w firmie ma “moc sprawczą”. Nie mówiąc już o tym, że znajomość jaka kancelaria obsługuje daną spółkę może przez nieuczciwe osoby zostać wykorzystana do różnego rodzaju ataków ukierunkowanych. A na liście odbiorców LSW byli zarówno pracownicy banków, jak i znanych fundacji i największych spółek giełdowych.

Kancelaria wysłała także drugiego e-maila z przeprosinami:

Wczoraj w godzinach wieczornych do części adresatów naszej bazy mailingowej została wysłana wiadomość w kopii otwartej, w wyniku czego niektóre z adresów mogły zostać w sposób niezamierzony ujawnione szerszemu gronu odbiorców. Niestety, nasze zaufanie zawiódł podwykonawca, popełniając błąd, który dla kancelarii takiej jak nasza, zawsze dbającej o najwyższe standardy, jest szczególnie bolesny. Dokładamy wszelkich starań, by błąd naprawić. Wszystkich Państwa, którzy otrzymali ten omyłkowo wysłany e-mail – prosimy – zgodnie z przepisami – o jego niezwłoczne usunięcie.

Ciekawe, czy któryś z klientów, którego dane osobowe został ujawnione, będzie teraz zatrudniał inną kancelarię do “dochodzenia swoich praw” :-)

PS. Ciekawe, czy ktoś już korzysta z takiej strategii — zapisywać się na newslettery do różnych firm, licząc na to, że kiedyś popełnią tego typu błąd i przejmie się listę klientów.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. “prosimy – zgodnie z przepisami – o jego niezwłoczne usunięcie” Zgodnie z jakimi przepisami? Standardowa klauzula korporacyjna, która nie ma mocy prawnej?

    • -Mamo, gdzie jest deser?
      -Nie ma żadnego deseru.
      -Ale powiedziałaś, że jak zjem obiad to dostanę deser….
      -Nie. Powiedziałam, że jak nie zjesz obiadu, to nie dostaniesz deseru.
      “prosimy – zgodnie z przepisami – o jego niezwłoczne usunięcie.”
      Tutaj jest to samo – nie ma przepisów zabraniających wysyłanie takiej prośby, więc zgodnie z przepisami ją wysyłają. ;p

  2. Mnie bardziej zastanawia to co klienci na to, że ich dane są wykorzystywane przez “podwykonawców”.

    • “podwykonawca” = aplikant na zleceniu

  3. “niektóre”, “mogły”?

  4. Kancelaria prawna która nie zna prawa :) Pasjonujące. Wysyłają maila zamierzonego do swoich klientów o zmianie siedziby, a potem informują o omyłkowym otrzymaniu maila. “Pani Basia” z sekretariatu musiała się mocno spocić pisać to wyjaśnienie. Skoro wysłałeś do kogoś maila przez przypadek, możesz go poprosić o jego usunięcie. To wszystko. Nic więcej. Nauczyć się i wywalić te durne sygnatury ze swoich stopek o konsekwencjach karnych.

  5. Co w takim wypadku może zrobić administrator poczty Exchange?

    • W ramach organizacji wysyłając może zrobić Recal.

    • Lukasz, Rozumie, ze to tylko w zakresie swojej firmy. A da się jakoś zablokować na stałe CC?

    • Ja od kilku dobrych lat powtarzam w kółko, że mamy XXI wiek i skoro od tak długiego czasu znane są problemy z polami TO, CC itp., to co za problem rozwiązać go po stronie serwerów poczty? Stworzenie reguły/kodu rozpoznającego, że w polu TO jest więcej niż X (parametr konfigurowalny) adresów i automatyczna zamiana na BCC to nie powinna być od strony programistów żadna misja na Marsa.

    • Blokowania nie próbowałem ale mamy plugin który:
      Jeżeli w polu ‘do’ jest więcej niż jedną osobą zadaje pytanie czy na pewno chcesz wysłać takiego maila oraz zadaje pytanie czy chcesz wysłać maila poza organizacje.

  6. Jak na to, ile interesujących danych użyszkodnik może w ten sposób niechcący ujawnić, to za łatwo jest mu popełnić ten błąd. Wielu ludziom przydałoby się w ogóle wykluczyć jakąkolwiek możliwość wysyłania z CC, bo nie są w stanie nauczyć się, jak tego używać. Jeśli jest możliwość popełnienia błędu w procedurze obsługi programu, to co któryś user na pewno ją wykorzysta. Zwłaszcza że w większości interfejsów CC/”kopia do” jest bardziej widoczna niż BCC/”ukryta kopia”, a często w “Odpowiedz wszystkim” nie widać słowa “wszystkim”.

    • Nie trzeba nic robić poza ustawieniem limitu jawnych maili do – powiedzmy – paru sztuk. każda wyższa ilość blokuje maila i trzeba go potwierdzić z działem IT.

      Natomiast co mnie zastanawia – dlaczego nie używają jakiegoś mechanizmu podobnego do grup dyskusyjnych? Serio, tam siedzi jakaś osoba od przeklejania maili z excela do programu pocztowego?

  7. A, w sumie w podanym przykładzie, to wygląda na wszystkie adresy w polu “To:”

    • Drogi niebezpieczniku, zróbcie proszę target=”_blank” przy wszystkich linkach zewnętrznych, jak nikomu nie chce się rzeźbić kodu to chociaż prosty skrypt pod jQuery, inaczej tracicie ruch, a utrudniacie użytkownikom świadomym dotarcie do treści.

    • Świadomi użytkownicy mają myszkę z wciskanym kółkiem, albo klawiaturę z klawiszem ctrl. Więc lepiej użytkownikowi pozostawić wybór czy chce nową zakładkę czy nie.

    • O nie, tylko nie target! To upodatnia stronę na atak reverse tabnabbing przez JS-owy obiekt window.opener :/

  8. i mail niby od IT ;)

  9. Heh….
    Kiedys tez dostalem liste okolo 500 adresow w podobny sposob, tym razem chodzilo o operatora platnosci kartami.

  10. “prosimy – zgodnie z przepisami – o jego niezwłoczne usunięcie.”
    Prośba o usunięcie maila mnie bardziej prowokuje do jego nieusuwania. Zawsze jest możliwość dalszego rozwoju sprawy, a brak pierwszej wiadomości mógłby popsuć dopiero co zaczynającą się opowieść.

  11. Daje pińcet za tom baze. Ma ktuś?

  12. “Wszystkich Państwa, którzy otrzymali ten omyłkowo wysłany e-mail – prosimy – zgodnie z przepisami – o jego niezwłoczne usunięcie.”

    Mają rację, to jest zgodne z przepisami – mówię to jako profesjonalny pełnomocnik!

    …zgodnie z przepisami każdy może prosić o co tylko chce :)

  13. Oczywiście, że są ludzie, którzy rejestrują się na wszelkie newslettery by złapać dodatkowe informacje (sam bylem jednym z nich przy okazji audytu dawno temu) – ktoś kiedyś jakiś błąd popełni. To tylko kwestia czasu IMHO.

  14. “Dokładamy wszelkich starań, by błąd naprawić”.

    Proszę wszystkich aby uruchomili prywatne bariery zakłóceń temporalnych, jedna z kancelarii prawniczych zamierza właśnie odpalić maszynę czasu.

  15. A moją uwagę zwrócił raczej brak słowa “przepraszam”.
    Bo ten mail nie stanowi przeprosin, a raczej wyrazy ubolewania.

    A to robi różnicę.

  16. Problem z CC i BCC jest tak częsty, że nie winię już użytkowników. Jest zbyt łatwy do popełnienia, a konsekwencje mogą być poważne. Moim zdaniem programy pocztowe powinny zabezpieczać przed tego typu błędem wymagając zaznaczenia potwierdzającego checboxa, że użytkownik chce by emaile pozostałych odbiorców były widoczne.

    • A domyślna maksymalna ilość adresów, która może się znaleźć w CC i polu “Do” bez pytania o to powinna wynosić 4. Do tego pouczenie prawne i dodatkowe pytanie “Czy na pewno?” z przyciskiem NIE po lewej stronie (dla nieczytających komunikatów)

  17. Pamiętajmy, że listę tą chroni tajemnica adwokacka, więc nic się nie stało. (-;

  18. 1) Zejdźcie z użytkowników, bo zrobił to “IT”.
    2) “Podwykonawca”, to pewnie jakiś student, który ogarnia im IT i nie ma jeszcze ani za bardzo doświadczenia w korpoświecie, ani tym bardziej nie jest jeszcze świadomy wagi ochrony danych – w końcu wsadził wszystkich w pole TO, nie w CC. To nie była więc pomyłka, tylko raczej celowe działanie, wynikłe z błogiej nieświadomości.
    3) Dla mnie ten tekst o usunięcie maila brzmi tak, że od razu zmieniłbym kancelarię. Śmiejecie się, że “zgodnie z prawem mogą prosić”, a im o to chodzi – co mniej świadomi się przestraszą i usuną, a ci bardziej świadomi nie będą mogli się do nich przyczepić. Tylko że to dla mnie brzmi jak groźba – jak można grozić własnym klientom?

  19. Kwestia bezpieczeństwa informacji w nawet największych i “najpoważniejszych” kancelariach zajmujących się M&A i podobnymi dochodowymi działkami, niestety leży i kwiczy. Trochę w tym siedziałem i przecierałem oczy ze zdumienia.

  20. No proszę nie widziałem o tym. A niby kancelaria LSW ma taki dobry marketing :)

Odpowiadasz na komentarz iMBECYL

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: