18:01
18/11/2019

Incydenty polegające na braku BCC w e-mailu, to coś co zdarza się regularnie i o czym już nie informujemy (bo ileż można). Wpadka PZU zasługuje jednak na wzmiankę.

Dziś otrzymaliśmy zgłoszenie, że PZU ujawniło e-maile kilkuset osób, poprzez wysłanie takiej wiadomości:

Firma chyba szybko się zorientowała, że coś poszło nie tak, bo po kilku godzinach Czytelnicy poinformowali nas, że otrzymali od PZU kolejną wiadomość, o takiej treści — wytłuszczenia nasze:

Szanowni Państwo,
w wyniku ludzkiej pomyłki wiadomość o Pani/Pana przystąpieniu do Klubu została wysłana do wielu jawnych adresatów. Serdecznie przepraszamy za zaistniałą sytuację. W ramach przeprosin przekazujemy Pani/Panu dodatkowy benefit w postaci bonu do sklepów Biedronka w wysokości 15 zł. Dochowamy najwyższych starań, by taka sytuacja nigdy więcej nie miała miejsca.

Dokładniejsze informacje
W trybie art. 34 pkt 1 i 2 ogólnego rozporządzenia o ochronie danych informujemy, że w ostatnich dniach doszło do incydentu, wskutek którego Pani/Pana dane osobowe mogły znaleźć się w posiadaniu osoby nieupoważnionej. Poniżej przekazujemy informacje dotyczące tego incydentu, a także działań, jakie w związku z tym podejmujemy. Podajemy też informacje o krokach, które Pani/Pan może podjąć w związku z incydentem. Prosimy o uważną lekturę niniejszego zawiadomienia. Dnia 18.11.2019 r. otrzymaliśmy informacje od jednego z naszych klientów, iż uzyskał dostęp do Pana/ni danych związanych z adresem e-mail. Do zdarzenia doszło z uwagi na błąd ludzki. Część adresów e-mail składało się z imion i nazwisk. Osoba ta miałaby więc pośrednio informacje o Pana/ni imieniu i nazwisku jeśli Pani/Pana adres e-mail zawierał te dane.
Na chwilę obecną nie mamy żadnych sygnałów, że Pani/Pana adres e-mail został upubliczniony lub jest wykorzystywany przez osobę niepowołaną. Istnieje jednakże ryzyko, że ktoś będzie próbował wykorzystać Pana/ni dane osobowe w celu podszycia się pod Pani/Pana (tzw. kradzież tożsamości). Na chwilę obecną nie mamy żadnych sygnałów o takim nieuprawnionym wykorzystaniu Pani/Pana danych lub o ich upublicznieniu.

Jakie środki bezpieczeństwa podjęliśmy?
Nieprawidłowi adresaci wiadomości zostali poproszeni o usunięcie wiadomości. Prowadzone są cykliczne szkolenia dla pracowników podnoszące ich świadomość. Prowadzony jest monitoring poczty wychodzącej poza sieć firmową oraz monitoring sieci Internet. Pracownik firmy został pouczony o niewłaściwości swojego działania. Podjęto decyzję o weryfikacji wiadomości e-mail przed ich wysłaniem do większej grupy osób.
W związku z ryzykiem kradzieży tożsamości, prosimy o ostrożność przy podawaniu Pani/Pana danych osobowych innym osobom. Dotyczy to szczególnie podawania danych za pośrednictwem Internetu lub przez telefon. Jeżeli dowie się Pani/Pan o upublicznieniu lub wykorzystaniu Pani/Pana danych przez osobę nieuprawnioną, bardzo prosimy o natychmiastowe przekazanie nam tej informacji.
W przypadku jakichkolwiek pytań, lub jeżeli chciałby/łaby nam Pani/Pan przekazać dodatkowe informacje, prosimy o kontakt z naszym Inspektorem ochrony danych. Poniżej podajemy dane kontaktowe inspektora ochrony danych:
PZU Pomoc SA, Michał Augustynek, al. Jana Pawła II 24 00-133 Warszawa, e-mail: iodpomoc@pzu.pl
Jednocześnie zwracamy się z prośbą o usunięcie wiadomości z Pani/Pana skrzynki pocztowej,
w której ujawniono dane innych osób i potwierdzenie tej czynności.
Z poważaniem
Zespół Klubu PZU Pomocni

Brawo PZU! Jest przepraszam, jest rekompensata (nie wiemy ile osób zadowoli bon do Biedronki na 15 PLN, ale lepsze to niż nic, z pięć Voltów będą ;). Jak na zakres opublikowanych danych to i tak więcej niż się należy kary za taki incydent w ocenie prokuratury.

Można by się zastanawiać, dlaczego wcześniej nie było “weryfikacji wiadomości e-mail przed ich wysłaniem do większej grupy osób” albo czemu nie zadziałała — no ale od teraz już powinna. Gratulujemy PZU nie chowania głowy w piasek i — niespotykanego często w tego typu przypadkach — oferowania zadośćuczynienia klientom.

A gdyby się ktoś zastanawiał czemu akurat voucher do Biedronki — to jest to jeden z benefitów, jakie na start i tak daje PZU wszystkim, którzy dołączają do usługi, w ramach której wysłano tego pechowego e-maila:

PS. Przypominamy, że parę lat temu zapoczątkowaliśmy “dobry zwyczaj”, polegający na tym, że w przypadku takich incydentów firmy kupują książki dla bibliotek. Nie każda firma, która była proszona o to przez ofiary wycieku adresu e-mail (STS pamiętamy o Was), przystępowała do takiej akcji — ale wiele firm dużych i małych a nawet urzędów urzędów wspomogło lokalne biblioteki, domy dziecka i hospicja nie tylko literaturą z zakresu cyberbezpieczeństwa. Datki szły w dziesiątki tysięcy złotych. Nawet przed RODO. I chwała im za to.

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Jaka firma taka rekompensata :D

    • sek w tym ze rekompensaty zadnej nie musieli dawac – EWNETUALNIE mozna by byli ic pozwac – ale najpierw PUODO musi potwiedzic naruszenie ( prawomocnie) – potem poszkodowany moze zadac odskzodowania ale musi wykazac jakie szkosdy poniosl …. i watpie czy ugrasz tu 15 zl …

    • Krzysztof, taka litera prawa. Ale jaka etyka? Ano taka jak firma.

    • No tak, za taki wyciek i z taką ilością cennych informacji, to minimum miesięczny pobyt w Dubaju z full serwis w 10 gwiazdkowym hotelu.

    • Masz rację, firma porządna to nie dość, że przeprosi to i gratyfikację przekaże. Pewnie niejeden Janusz to by chciał ze 100 zł dostać za ujawnienie swojego tajnego maila, zapominając że jak ostatnio ciotka Wandzia wysyłała wielkanocne życzenia rodzince to załapał kilka ciekawych kontaktów w ten sam sposób. A czekoladki od ciotki doprosić się nie może, bo powiedziała, że jak mu się nie podoba do więcej życzeń żadnych nie dostanie. Ot rodzinka.

    • Kolego, jakie “prawomocne potwierdzenie przez PUODO naruszenia”? Totalna bzdura. Polecam art. 79. No i pamiętaj że szkoda nie musi być majątkowa…

  2. Rok 2019 a serwery pocztowe nie mają możliwości zdefiniowania polityki na takie okazje – jeżeli liczba odbiorców w To lub Cc jest większa niż x i ich adresy nie należą do listy domen lokalnych/zaprzyjaźnionych to odmów przyjęcia wiadomości (np. błąd 554). Co więcej, polityka taka powinna być defaultem. Mentalnie oprogramowanie SMTP jest nadal w latach 80 XX w.

    • Raczej admin a nie SMTP, bo takie ograniczenia w tym a-fuj-jakie-to-niekorpo-eximie mam od 20 lat :P

    • Myślenie za usera to zło. A co, jakbym miał całkiem prawidłowy powód wysyłki wiadomości w taki sposób?
      To użytkownik musi wiedzieć co klika. SMTP jest tylko i wyłącznie medium i działa zgodnie z RFC 5322.

    • Również uważam, że takie sprawy powinny być załatwiane na płaszczyźnie społecznej a nie technicznej. Niestety czasem skuteczniej coś ludziom narzucić niż się ich o to prosić, zwłaszcza kiedy to na własnym podwórku. Smutne.

    • P4, jeśli userzy robią coś głupiego i masz do wyboru:
      1. obwinić userów i próbować ich zmienić, albo
      2. obwinić system i go poprawić

      To punkt 1 nigdy się nie uda, ponieważ:
      * Ludzie nie są zainteresowani informatyką i nie obchodzi ich środek, tylko cel – dlatego 90% świata jedzie na Excelu, a do pola CC trafiają rzeczy, które powinny być w BCC; jeśli działa, to się tego używa
      * Zbiór użytkowników jest zmienny w czasie – edukowanie ich mija się z celem, bo mogą odejść z pracy, przyjdą nowi, i tak w kółko
      * Praca, w której możesz łatwo popełnić błąd i ponieść za niego konsekwencje, jest bardziej stresująca od takiej, gdzie system Ci pomaga

      W skrócie: automatyzacja ma przyszłość, a na edukację typu CC/BCC, gdy ktoś u nas pracuje, jest już za późno.

  3. Buhahaha wasza prywatność jest dla nas warta 15 ziko, jak chcecie możecie nas pozwać (nam naskoczyć). Sp1eprzay dziadu

    • Nie no, `15×${#To[@]}` ;-)

    • Gdyby tam były twoje dane, to przepłaciliby z 15 PLN

  4. Rozumiem, że to potwierdzona informacja a nie tylko jednokanałowy donos poparty podesłanymi zrzutami ekranu tudzież przepisanymi e-mailami; jakże wiarygodnymi.

    Nie, nie jestem w żaden sposób związany z PZU. Ciekaw natomiast jestem Waszej rzetelności, szanowna Redakcyjo.

    PS.
    z pięć Voltów „będzie”, nie „będą”.

  5. Ale Voltów już od dawna nie ma w Biedronce! Co najwyżej Kustosza można zapodać… Albo nieśmiertelną Amarenę!

    • z tą nieśmiertelnością po Amarenie to tylko plotki. Wielu “testerów” próbowało i dziś już tych dobrych chłopaków nie uświadczysz na towarzyskim spotkaniu za sklepem.

  6. Pierdoły, wszystkie dane osobowe powinny być jawne, skończyłoby się branie kredytów na PESEL czy skan dowodu. Wtedy to banki musiałby udowadniać że sprawdziły tożsamość w inny sposób niż tylko PO NUMERZE PESEL i DOWODU.

    • W zasadzie jawność danych osobowych ma się nijak do tego, czy i jak banki są zobowiązane weryfikować tożsamość kredytobiorców. Tu problemem jest nasze prawo (czy raczej lewo), które w starciu: obywatel vs instytucja, faworyzuje praktycznie zawsze instytucje (jakiekolwiek). To oddaje najlepiej nasz poziom “wolności osobistej”…

  7. Według mnie zachowanie PZU na plus. A to czy rekomensata jest adekwatna to inna sprawa. Mogli przecież udać, że nic się nie stało. Przykładowo za dupny wyciek z Morele jedyne co dostalem to kupę spamu na skrzynkę.

  8. 5 voltów :D

  9. W świetle RODO jest to akcja wyłącznie wizerunkowo – marketingowa.

    Art 34 RODO stosuje się, jeśli ryzyko dla osoby w związku z naruszeniem jest wysokie. Wyciek samego maila, który zawierać nawet może imię i nazwisko nie rodzi wysokiego ryzyka. Więc nie musieli stosować art 34.
    Nawet mam wątpliwości czy do UODO bym to zgłosił (art 33). Na pewno trzeba udokumntowac.

  10. To jest standard. W wielu szkołach to tak funkcjonuje. przesyłają do szkoły email zbiorowy np. z kuratorium, a w nim mamy adresy email wszystkich innych szkół do których to zostało wysłane.

    Wystarczy że któryś z komputerów który to odebrał będzie zainfekowany trojanem rozsyłającym e-maile i za chwilę wszystkie, które nie są dobrze zabezpieczone będą miały tego samego trojana.

    Sekretarki często o obsłudze programu pocztowego pojęcia nie mają. Mało tego, nie mają pojęcia o obsłudze MS Worda. WordPad by im wystarczył, gdyż do formatowania tekstu używają tylko spacji.

  11. Nie wiem co i jakie prywatne dane można pozyskać po samym adresie e-mail? Chyba jedynie imię i nazwisko jeśli jakiś głupek ustawił sobie taki login do poczty :E

  12. Lepiej by dali zestaw naklejek na świeżaki :) LOL

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: