21:18
24/7/2019

10 lipca POLITYKA rozesłała swoim prenumeratorom na ich czytniki Kindle nowy numer tygodnika. Ale oprócz magazynu, odbiorcy otrzymali również plik receivers zawierający 2433 adresy e-mail (wszystkich pozostałych?) prenumeratorów. Nie jest to duża wpadka, raczej solidna pół-wpadka. I już tłumaczymy dlaczego.

Adresy e-mail Kindle

Użytkownicy Kindle mogą otrzymywać materiały wprost na swoje czytniki. Jedną z metod jest przesłanie e-booka (np. z nowym wydaniem POLITYKI) na adres e-mail w domenie kindle.com. Każdy właściciel e-booka może go sobie wybrać:

Domyślnie Amazon, chroniąc przed spamem swoich klientów, nie pozwala nikomu wysyłać na te kindlowe adresy e-mail żadnych wiadomości. Aby odbierać materiały, właściciel czytnika musi wcześniej dodać adres e-mail nadawcy. Tak jak prenumeratorzy POLITYKI wcześniej musieli dodać e-mail Wydawcy tej gazety, aby otrzymywać jej kolejne wydania.

To oznacza, że choć kindlowe adresy e-mail prenumeratorów wyciekły, to nikt nie będzie w stanie wysłać im na nie spamu. Ale…

  • Z tych e-maili wciąż da się wyczytać dane osobowe (imię i nazwisko). A więc nie do końca prawdą jest to co POLITYKA pisze w swoim liście z przeprosinami, że “nie zawierają (…) żadnych innych danych osobowych”:

    Przejrzeliśmy ten plik i kilka z osób, na podstawie jedynie kindlowych adresów, udało nam się zlokalizować na Facebooku, a także za pomocą innych metod, ustalić ich prawdziwe adresy e-mail.

    Gdybyśmy mieli niecne zamiary (albo ktokolwiek inny, kto prenumerował POLITYKĘ na Kindle i otrzymał plik z 2433 adresami e-mail), to moglibyśmy teraz np. wysłać e-maila podszywającego się pod POLITYKĘ i zaproponować w ramach “rekompensaty” za wyciek dożywotnią prenumeratę czasopisma, za jednorazową opłatą 79,99 PLN ;)

  • Inne redakcje mogą sprawdzić, czy ich klienci (których kindlowe adresy e-mail znają) subskrybują też POLITYKĘ. Co zrobią z tą wiedzą? Mogą wykorzystać do sprecyzowanej kampanii marketingowej.

POLITYKA dziś przeprosiła swoich prenumeratorów w taką wiadomością:

…która poza przeprosinami zawiera kilka obowiązkowych zwrotów z matrycy gry RODO-BINGO:

    “wprowadzimy dodatkowe procedury kontrole”:
    “błąd systemu”
    “przeszkolimy osoby”

PS. Dziękujemy prenumeratorom POLITYKI, którzy podesłali nam informacje na temat tego incydentu wraz z widoczną w artykule dokumentacją fotograficzną.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

23 komentarzy

Dodaj komentarz
  1. Adres na który następuje wysyłka na Kindle’a można sobie w ustawieniach konta Amazon zmienić z domyślnego (a jest to chyba nazwa usera) na dowolny inny. Jeżeli ktoś sobie ustali losowy ciąg znakow to zabezpieczy się przed powiązaniem adresu wysyłkowego z jego osobą.

    • Tak, tylko trzeba wtedy pamiętać, żeby korzystać z takiego adresu do wysyłania sobie książek…

      Jeśli ktoś sobie wysyła książki z innych serwisów, czasem (np. podczas wyjazdów) robi to z telefonu czy tabletu, czyli najczęściej z Androida, czyli najczęściej z konta Google’a. Wcale bym się nie zdziwił, gdyby w przypadku jednej trzeciej czy nawet połowy użytkowników wystarczyłoby podmienić @kindle.com na @gmail.com.

    • To nadal pozostaje “identyfikator internetowy” więc to, że nie ma w nim imienia i/lub nazwiska niewiele zmienia, to nadal jest dana osobowa…

  2. No dobra, ale kupią książki do biblioteki?

    • Nie – wyślą prenumeratę Polityki :D

    • włacha

  3. Za taki “wyciek” mogą być jakieś konsekwencje? Czy tylko utrata “dobrego mienia” firmy?

  4. Skoro wedle polskiego orzecznictwa IP jest daną osobową, to adres mailowy jest nią tym bardziej.

    IP faktycznie identyfikuje co najwyżej przedmiot (częściej sieć). Adres e-mail w większości wypadków należy do konkretnej osoby, więc jednoznacznie identyfikuje konkretną osobę.

    • To kuriozum, że wprawdzie IP jest w orzecznictwie uznany za daną osobową, ale numer rejestracyjny pojazdu już nie. Noż ręce opadają…
      Więcej tutaj: https://panoptykon.org/wiadomosc/niebezpieczny-wyrok-nsa-w-sprawie-tablic-rejestracyjnych

    • I tu się obaj panowie mylicie.
      1)adres e-mail- wcale nie musi być powiązany z osobą, może być powiązany ze stanowiskiem w firmie, działem firmy albo w ogóle stanowić rodzaj honey-trap.
      2)numer rejestracyjny pojazdu- ależ pojazd może być zarejestrowany na firmę, urząd albo bank udzielający leasingu. Dodatkowo ani kierowca, ani właściciel pojazdu nie muszą być osobą, na którą wskazują dane CEPiK. Ile razy można spotkać się z sytuacją, że auto zarejestrowane jest na osobą posiadającą najwięcej zniżek w rodzinie, właścicielem w celu obniżki podatków jest żona, a w danym momencie kieruje kolega właściciela, bo on sam „zasłabł” podczas nocnej imprezy.

    • @freynir`

      Nie da się zarejestrować pojazdu na osobę inną niż właściciel, dane w CEPiK wskazują na właściciela lub właścicieli pojazdów, pomijam kwestię wspólności majątkowej małżeńskiej ponadto jest informacja o osobie, która zawarła polisę OC powiązaną z danym pojazdem.

      W Twoim przykładzie, jeśli żona będzie właścicielem czyli będzie miała dokument to potwierdzający: umowa/faktura VAT, to jej dane będą widniały w CEPiK.

    • A ja przypominam, że sam IP nie jest adresem IP.

  5. Nie ma tam wszystkich adresów prenumeratorów chyba, że są tam tylko te, które nie dotyczyły adresata.

  6. Najgorsze w tym wszystkim jest to, że najprawdopodobniej nie był to błąd systemu, a błąd ludzki. Obstawiam, że jakaś osoba wrzuciła ręcznie tą listę do dystrybucji.

  7. Głupota nie ma barw politycznych i światopoglàdowych. Jest uniwersalną wartością tego uniwersum. To cieszy !

  8. Kilka nieścisłości w artykule.
    Polityka tą wiadomość z przeprosinami wysłała następnego dnia po wycieku, co zresztą widać w pierwszym zdaniu “wraz z wczorajszą wysyłką (9 lipca 2019 r…”
    Z czego wynika że wysyłka była 9 lipca a nie jak podaliście 10, to też jest widoczne na pierwszym zrzucie, na dole jest Polityka z datą Jul 9. Wydanie elektroniczne jest rozsyłane we wtorki po południu, papier trafia do kiosków w środę.
    Niby drobiazgi ale jednak jest różnica w czasie reakcji 2 tygodnie czy następnego dnia po zdarzeniu.
    Jeszcze odnośnie zdanie że lista nie zawiera żadnych INNYCH danych osobowych poza mailem do wysyłki, to jest moim zdaniem prawdziwe. To że ktoś w tym adresie zawarł inne dane to jest już “zasługa” prenumeratorów.

  9. Prawdopodobnie ktoś skorzystał z nowego MS Outlook albo Gmail, gdzie pole UDW (BCC) jest domyślnie ukryte i wstawił listę prenumeratorzy z pliku zamiast w pole, w załącznik.

  10. Lol, na wyprofilowanego mejla nie takie oferty trafiają.

  11. Wybierz jedno:
    “błąd systemu”
    “przeszkolimy osoby”

  12. czas wakacji = stażyści + praktykanci
    pracujący za stały staff
    problem solved…

  13. Imię.nazwisko@kindle.com to nie dane osobowe. Dane osobowe byłyby gdyby imię i nazwisko było tylko jedno w tym przypadku ja całym świecie. Jeżeli po małpie byłaby firma w której ta osoba pracuje to już mogą być to dane osobowe.

    • Niekoniecznie, bo to zależy od treści umowy o pracę. Skrzynka i jej zawartość może być własnością pracodawcy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: