21:35
12/6/2014

Kilka dni temu informowaliśmy o tym, że Nordea ujawniła e-maile 600 klientów — ktoś umieścił ich adresy w nagłówku TO zamiast BCC. Na nasz apel o kupno książek z dziedziny bezpieczeństwa IT, umieszczony pod tamtym artykułem, Nordea nie odpowiedziała, ale dziś została przyłapana na tym samym błędzie. I tym razem przedstawicielka banku obiecała: ksiązki będą.

Recydywa Nordei

O dzisiejszej recydywie Nordei pisaliśmy w naszym linkblogu. Jeden z naszych czytelników odebrał dziś taką wiadomość z banku:

Drugi e-mail od Nordei z adresami klientów w polu To: zamiast Bcc:

Drugi e-mail od Nordei z adresami klientów w polu To: zamiast Bcc:

Zareagował tak:

Dzień dobry!
Serdecznie dziękuję za (pewnie niepełną, ale zawsze) bazę Waszych klientów, na której się znalazłem. Zgodnie z “Ustawa o przetwarzaniu danych osobowych” nie upoważniłem Państwa do publikowania moich danych innym podmiotom. Rozumiem, że to pomyłka… że zamiast “Do” powinno być “BCC”, jednak proszę przeczytać te artykuły:

https://niebezpiecznik.pl/post/nordea-ujawnia-e-maile-600-klientow/
i
https://niebezpiecznik.pl/post/warszawski-urzad-ujawnia-e-maile-obywateli-i-dostaje-ciekawa-propozycje-zadoscuczynienia/
https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/

Moja propozycja jest podobna do tej w drugim artykule – Państwo kupujecie książki dla bibliotek w Gdańsku, jednak w związku, że to recydywa (vide: pierwszy artykuł) – kwota rośnie do 5000.

Na odpowiedź czekam do piątku do 16:00, później sprawa trafi do odpowiednich służb.
Michał [nazwisko do wiadomości redakcji]

Po 8 minutach napisaliśmy o tym na Niebezpieczniku, a dokładnie po 4 godzinach od publikacji artykułu, Joanna Krawczyk-Golba Koordynator ds. Komunikacji Zewnętrznej banku Nordea, przesłała nam taką wiadomość:

Przepraszamy raz jeszcze za błąd. Podjęliśmy niezbędne działania, wdrożyliśmy rozwiązania systemowe, które pomogą wyeliminować wystąpienie podobnych incydentów w przyszłości. Ponieważ dbamy o bezpieczeństwo danych osobowych klientów oraz szeroko rozumiane bezpieczeństwo transakcji finansowych, Nordea Bank Polska zakupi i przekaże do bibliotek w Trójmieście literaturę fachową z zakresu bezpieczeństwa za kwotę 10 000 złotych. Z ubolewaniem musimy przyznać, że mimo ciągłych szkoleń, zdarzają się takie błędy.
Zapewniamy, że będziemy kontynuować działania zwiększające świadomość i wiedzę naszych pracowników, ale także kontrahentów i klientów, w zakresie bezpieczeństwa informacji.

Brawo Nodea!

Brawo Nordea! Nie każdy potrafi przyznać się do błędu — większość firm bagatelizuje tego typu incydenty. Szacunek dla banku jest tym większy, że podwoił on żądaną przez naszego czytelnika kwotę.

Przypominamy, że listę ciekawych książek z zakresu bezpieczeństwa komputerowego publikowaliśmy w artykule o podobnym incydencie, który miał miejsce w warszawskim urzędzie — urząd ten, po tym jak został przyłapany przez naszego czytelnika na ujawnieniu e-maili obywateli w masowej korespondencji, także zgodził się na zakup książek z tematyki bezpieczeństwa komputerowego.

Kto następny?

Mamy nadzieję, że serią tych artykułów zapoczątkujemy nową tradycję — nie pamiętałeś o BCC, kupujesz książki do biblioteki. Wszystkich czytelników, których e-mail zostaną w przyszłości ujawnione w ten sposób zachęcamy do stosowania podobnych formułek co ta powyżej i dodawanie nas do CC w korespondencji z firmami i instytucjami, które dopuściły się ujawnienia waszego adresu bo nie wiedzą do czego służy pole BCC.

Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. nie bylbym polaczkiem jakbym nie napisal ze tacy hojni bo niedlugo zostaną pochłonięci przez PKOBP. A tak serio to bardzo się cieszę!

    • HA! I tym sposobem pieniądze z (ponoć) jednego z lepszych OFE i tak trafią do Państwa ;)

  2. A można Was dodać do TO? ;)

  3. Piarowo zagranie mistrzowskie. Jeszcze jaką mają reklamę za 10 tysięcy. ;)
    Ale szacunek naprawdę. Ciekawi mnie tylko kto sprawdzi czy wywiązali się ze zobowiązania.

    • Klasyczna sytuacja win-win-win ;)

    • zaloze sie, ze:
      win-win-win-lost
      nordea-spoleczenstwo-niebezpiecznik-pracownik

  4. nie ma Nordei bo przejal ja BP… jesli tak sie stało to ta malutka liczna ksiazek to zamalo….

  5. to tak jak tradycja “jutro pączki” jak ludzie na open space zostawiają nie zablokowanego laptopa, tj już zalogowanego. Niestety wewnątrz firmy terż kazdy powinien dbać o bezpieczeństwo dostepu do danych… ale tylko kończy sie na nieszczęsnych pączkach :)

    • “Tylko pączki” lepiej smakują z podmianą tapety na pulpicie na … ;)

    • Ja takim zostawiałem napisanego maila do działu kadr:
      “Uprzejmie proszę o zmianę numeru konta bankowego na który będą przelewane pobory na: “[koniec]

  6. omg :) też ! :)

  7. Rozumiem, że przyślą jakąś kopię faktury za te książki, albo dowód wpłaty ? ;)

  8. Ciekawe, czy jak następnym razem jak ktoś od nich znowu wyśle w TO:, a jakiś łepski człowiek to zauważy i napisze o 5 klockach, to Nordea napiszę “ostatnio daliśmy 5 więcej, więc teraz zero”? :)

    A już na serio: czas reakcji i sama reakcja… tylko przyklasnąć.

  9. zarzucono mi “dlaczego nie na hospicjum”, “na szkole”… nie chodzilo o dowalenie komus, zwrocenie na siebie uwagi, na bank… Nordea zachowala sie IMO perfekcyjnie PRowo, wierze, ze wypelnia obietnice publiczna i poinformuja o tym mnie i Niebezpiecznika. nic mi sie nie “udalo”. IMO “sukcesem” bedzie podniesienie swiadomosci spolecznej w zakresie ogolnopojetego bezpieczenstwa danych (nie tylko osobowych), ich przetwarzania i zwrocenie uwagi na to, ze chronimy sie (albo inaczej – my, informatycy, chronimy ludzi) przed zagrozeniami ze swiata a to wszystko i tak idzie jak krew w piach z powodu tzw “zagrozen wewnetrznych” (czyt. “znowu ten glupi informatyk cos wymyslil”).

    • Dokładnie. Ludzie są strasznymi ignorantami w kwestii bezpieczeństwa (a po co takie długie hasło, a czemu trzeba tak często zmieniać? ) – a przykład zawsze idzie z góry.

  10. W tych mailach faktycznie były dane osobowe? Nie każdy mail jest daną osobową. Poza tym jak już się ktoś powołuje na ustawę to pasowałoby wiedzieć na jaką :P

  11. Wszystko pięknie ładnie, tyle że nikt nie potrafi listy książek sklecić poza wymienianiem Mytnicka w kółko. Niebezpieczniku dasz radę stworzyć porządną listę bez proszenia o wpisywanie w komentarzach?

    • The Art of Software Security Assessment by Mark Dowd, John McDonald, and Justin Schuh
      A Bug Hunter’s Diary by Tobias Klein
      Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton, Adam Greene, and Pedram Amini
      Exploitation
      Hacking: The Art of Exploitation, 2nd Edition by Jon Erickson
      The Shellcoder’s Handbook: Discovering and Exploiting Security Holes by Chris Anley, John Heasman, Felix Lindner, and Gerardo Richarte
      Hacking Exposed 7: Network Security Secrets & Solutions, Seventh Edition by Stuart McClure, Joel Scambray, and George Kurtz
      The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler by Chris Eagle
      Reversing: Secrets of Reverse Engineering by Eldad Eilam
      The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws by Dafydd Stuttard and Marcus Pinto
      The Tangled Web: A Guide to Securing Modern Web Applications by Michal Zalewski

    • a tak na szybko, to w której z nich “pani Kasia” dowie się, jak poprawnie wysyłać maile do wielu adresatów?

    • @Piotr Konieczny – Jeśli to na serio, to nie sądzę, by ZU (Zwykli Użytkownicy) wieli zacięcie żeby po nie sięgnąć. Fachowa literatura po angielsku.
      Jeśli to ironia, to niepotrzebna, bo lista książek dla ZU naprawdę mogłaby się przydać.

      Inna sprawa to taka, że książka może stać w bibliotece, ale czy ktoś po nią sięgnie? Czy potencjalni odbiorcy będą w ogóle wiedzieć, że takie książki w ich bibliotece są?

      A może Niebezpiecznik podjąłby się opracowania broszury informacyjnej, promującej bezpieczeństwo IT w codziennym używaniu komputera i poruszającej najczęstsze zagrożenia i dobre praktyki? Np:

      – BCC w mailach.

      – Jak sprawdzać certyfikaty HTTPS (i dlaczego “kłódka” jako favicon fałszywej strony to co innego niż ta właściwa “kłódka” przy pasku adresu).

      – Jak nie dać się zrobić na popularne przekręty z bankowością internetową (socjotechnika i trojany przechwytujące wpisywany tekst, podmiany stron).

      – Jak generować silne i łatwe do zapamiętania hasła (i dlaczego data urodzin syna jest takim sobie sekretem w “pytaniu pozwalającym zresetować hasło jak się je zapomni”).

      Taką broszurę można by rozprowadzać jako WWW, PDF, może nawet ktoś (ktoś kto znów zapomni o BCC? :P) by to wydrukował?

      Kojarzę nawet, że Niebezpiecznik chyba już kiedyś popełnił podobny artykuł “popularnoedukacyjny”.

    • @Xender no właśnie do tego zmierzałem. Akcja z książkami jak najbardziej ładna, zachowania zacne tyle, że coś czuję, że dziecko zostało wylane razem z kąpielą… i wszyscy podjarani :(

  12. Orientujecie się może, czy działanie łamiące przepisy ustawy o ochronie danych osobowych musi być zgłoszone odpowiednim służbom, jeśli zostało zauważone? Czy naprawdę można komuś postawić warunek, że jak kupi książki do biblioteki, to nie zostanie to zgłoszone?

    • Myślę że rozsądnym założeniem jest, że nie jest to wykroczenie ścigane z urzędu a więc w takiej sytuacji decyzja należy do poszkodowanego.

    • Mnie zastanawia z kolei sytuacja, w której Nordea już kupi książki (Np. dzisiaj), a w poniedziałek (albo za miesiąc, przecież to się nie przedawnia tak szybko) zgłosi się do niej kolejny odbiorca emaila, który powie, że też mu się nie podoba rozprowadzanie jego maila po innych klientach banku, ale nie zgodzi się na zaproponowaną przez innego klienta karę (czyli zakup książek). Bo przecież pan Michał działał tylko w swoim imieniu, a pozostałych 599 odbiorców może mieć zupełnie inny pogląd na sprawę. I co w takim przypadku?

    • @Paweł, dokładnie. Przecież inni też mają prawo to zgłosić.

    • @Wojtek: art. 240 §1 Kodeksu Karnego mówi tak:

      Kto, mając wiarygodną wiadomość o karalnym przygotowaniu albo usiłowaniu lub dokonaniu czynu zabronionego określonego w art. 118, 118a, 120–124, 127, 128, 130, 134, 140, 148, 163, 166, 189, 252 lub przestępstwa o charakterze terrorystycznym, nie zawiadamia niezwłocznie organu powołanego do ścigania przestępstw, podlega karze pozbawienia wolności do lat 3.

      Nie znam innych przepisów nakładających obowiązek zgłaszania czegokolwiek organom ścigania. W przypadku innych czynów zabronionych istnieje coś takiego jak obywatelski obowiązek, czyli mówiąc wprost państwo oczekuje od Ciebie, że zgłosisz, ale jeśli tego nie zrobisz, nie ponosisz żadnej odpowiedzialności.

      @Paweł: jeśli inny poszkodowany to zgłosi, postępowanie będzie toczone w trybie normalnym. Prokurator w postępowaniu przygotowawczym (jak i sąd w czasie rozprawy) może wziąć pod uwagę fakt kupienia książek, ale wcale nie musi tego robić. Art. 59a Kodeksu Karnego ujmuje to tak:

      § 1. Jeżeli przed rozpoczęciem przewodu sądowego w pierwszej instancji sprawca, który nie był uprzednio skazany za przestępstwo umyślne z użyciem przemocy, naprawił szkodę lub zadośćuczynił wyrządzonej krzywdzie, umarza się, na wniosek pokrzywdzonego, postępowanie karne o występek zagrożony karą nieprzekraczającą 3 lat pozbawienia wolności, a także o występek przeciwko mieniu zagrożony karą nieprzekraczającą 5 lat pozbawienia wolności, jak również o występek określony w art. 157 § 1.
      § 2. Jeżeli czyn został popełniony na szkodę więcej niż jednego pokrzywdzonego warunkiem zastosowania § 1 jest naprawienie przez sprawcę szkody oraz zadośćuczynienie za wyrządzoną krzywdę w stosunku do wszystkich pokrzywdzonych.
      § 3. Przepisu § 1 nie stosuje się, jeżeli zachodzi szczególna okoliczność uzasadniająca, że umorzenie postępowania byłoby sprzeczne z potrzebą realizacji celów kary.

      Jest jeszcze art 60 §2 tej samej ustawy:

      § 2. Sąd może również zastosować nadzwyczajne złagodzenie kary w szczególnie uzasadnionych wypadkach, kiedy nawet najniższa kara przewidziana za przestępstwo byłaby niewspółmiernie surowa, w szczególności:
      1) jeżeli pokrzywdzony pojednał się ze sprawcą, szkoda została naprawiona albo pokrzywdzony i sprawca uzgodnili sposób naprawienia szkody,

      Zatem jeśli jest jeden poszkodowany to zakup książek zgodnie z art 60KK jest jak najbardziej pojednaniem i naprawieniem szkody. W przypadku wielu poszkodowanych zgodnie z art. 59a KK wszyscy poszkodowani musieli by uznać, że ich szkoda została naprawiona, istnieje jednak tutaj słowo klucz zawarte w §1: “umarza się, na wniosek pokrzywdzonego”. Jakoś nie mogę sobie wyobrazić, żeby 600 pokrzywdzonych złożyło taki wniosek.

      Pozostaje na koniec przejść do kwestii wspomnianej przez 3_Kawki. Naruszenie dóbr osobistych jest ścigane na wniosek pokrzywdzonego, czyli jeśli nie zgłosi się żaden poszkodowany, to nie ma mowy o jakimkolwiek czynie zabronionym. Jeśli zgłosi się tylko jeden z 600, to postępowanie będzie prowadzone w przypadku naruszenia dóbr tylko tej jednej osoby, bo pokrzywdzony będzie tylko jeden. Nie można z góry zakładać, że pozostałe osoby również czują się pokrzywdzone.

      Mam nadzieję, że w miarę jasno wszystko wyjaśniłem. Pozostaje jedynie rozstrzygnięcie, czy upublicznienie adresu e-mail jest naruszeniem naruszeniem przepisów jakiejkolwiek ustawy, ale to pozostawiam innym :)

  13. Lepiej byłoby gdyby oni najpierw te książki obowiązkowo przeczytali haha ;)

  14. Ciekawe czy jak ktoś inny z ty poszkodowanych teraz napisze że chce 5000 na schronisko dla zwierząt lub podobne piękne idee to też dadzą, w końcu czemu jeden ma decydować za wszystkich poszkodowanych.

  15. Jak tak dalej pójdzie to w bibliotece nie znajdę innej książki niż z “tematyki bezpieczeństwo IT” :D
    Przy następnych wpadkach tego typu, proszę zacznijcie żądać np. kryminałów :D

  16. Ja bym w ogóle wypieprzył wszystkich bezpieczników i ludzi od compliance’u. Zamiast tego przekazywałbym 100k PLN rocznie na książki. Ile to kasy zaoszczędzonej! Inwestorzy by mnie pokochali :)

    • @Damian:
      postawa godna podziwu, naprawde sadzisz ze to wina tych ludzi? bledy ludzkie sie zdarzaja w kazdej organizacji, rozwiazania systemowe wylapujace takie bledy to zazwyczaj czas i pieniadze,

      jak ktos slusznie zauwazyl mowa o ‘danych osobowych’ w tym przypadku jest dyskusyjna, sam GIODO czesto w uzasadnieniach swoich decyzji podkresla, ze kazdy taki przypadek wymaga indywidualnej analizy (czy adres ‘kosma.nowak@xy.pl’ pozwala na identyfikacje osoby fizycznej? bez zbednego nakladu srodkow raczej nie)

      postawa osoby, ktora zglosila ten incydent jest OK (moze poza nieco zbyt roszczeniowym tonem wiadomosci) ale sama Nordea rowniez zrobila to co mogla w takiej sytuacji, raczej wszyscy na tym skorzystali

  17. Pamiętam, jak kiedyś (dawno, dawno) Helion walnął takiego mejla. Oni mogliby sypnąć książkami wtedy ;)

  18. Lepiej niech za te pieniądze zlecą zrobienie programu pocztowego bez funkcji TO tylko samo BCC :)

  19. PWSZ Elbląg daje wszystkich uczestniczących w rekrutacji na studia w “TO:” od kilku lat.

    • Jedna z warszawskich uczelni robi to samo w mailu, w którym załącz wyniki egzaminu z ubezpieczeń. Same wyniki też wspaniale “szyfrowane” – jedna kolumna pesel, druga ocena…

  20. http://i.imgur.com/PjKKwto.png

    pam param pam pam :)

  21. Pracownik który popełnił błąd będzie miał potracone z pensji przez kilka miesięcy

  22. Sprzedam książki, proszę o kontakt przedstawicieli banku Nordea.

  23. A wystarczyłoby, że firmy napisały sobie program pocztowy, który z automatu emaile wpisuje do bcc…

    • Najlepszy program jest bezwartościowy bez wdrożenia procedur i ukształtowania świadomości ludzi. A programy zapewne istnieją.

  24. […] czy za karę USMS kupi książki do amerykańskich bibliotek? […]

  25. […] do niego dostęp. Nie zapomnijcie poinformować o tej funkcji pracowników WORD-ów i swojego konsultanta z Nordei […]

  26. Podjęliśmy … działania, wdrożyliśmy rozwiązania systemowe, które pomogą wyeliminować wystąpienie podobnych incydentów w przyszłości. … Z ubolewaniem musimy przyznać, że mimo ciągłych szkoleń, zdarzają się takie błędy …. będziemy kontynuować działania zwiększające świadomość i wiedzę naszych pracowników

    To systemowe działania czy działania uświadamiające? :)

  27. […] wspomożenie bibliotek lub domów dziecka w ramach rekompensaty. Do tej pory zarówno urzędy jak i banki oraz mniejsze firmy nie miały z tym problemu i żałując swojej pomyłki przekuwały ją na coś […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.