12:33
14/8/2014

Od kilku miesięcy prowadzimy na Niebezpieczniku spontaniczną “akcję uświadamiającą”. Firmy, które rozsyłają mailingi umieszczając e-maile/dane osobowe tysięcy swoich klientów w polu TO: zamiast BCC: są proszone przez naszych czytelników, którzy nieszczęśliwie znaleźli się w gronie odbiorców takiego “wycieku”, o wspomożenie bibliotek lub domów dziecka w ramach rekompensaty. Do tej pory zarówno urzędy jak i banki oraz mniejsze firmy nie miały z tym problemu i żałując swojej pomyłki przekuwały ją na coś dobrego. STS jednak się wyłamał.

Ujawnienie danych klientów przez STS

11 sierpnia, klienci STS otrzymali na swój adres e-mail taką wiadomość:

Wiadomość od STS ujawniająca prawie 3000 e-maili klientów

Wiadomość od STS ujawniająca prawie 3000 e-maili klientów

…w której oprócz komunikatu firmy mogli także zaobserwować 2939 innych adresów e-mail. Wśród tych prawie 3 000 nieszczęśników, których e-maile zostały ujawnione innym znalazło się kilku naszych czytelników i postanowili oni zaproponować STS-owi “wyjście z twarzą” z tej pomyłki, kierując do firmy standardową regułkę, która przeplatała się w poprzednich naszych artykułach dotyczących ujawnienia danych przez brak BCC.

STS poprzestał jednak tylko na przeprosinach (wtłuszczenia nasze):

W poniedziałek 11 sierpnia w godzinach porannych firma Star-Typ Sport Zakłady Wzajemne Sp. z o.o. skierowała do wybranych osób zarejestrowanych na platformie internetowej sts.pl emaile o tytule: „Jedno konto, tak wiele możliwości”.

Informujemy, że w wyniku błędu programistycznego, system obsługujący platformę sts.pl wysłał do tych adresatów spersonalizowane emaile, zawierające nie tylko email właściwy dla konkretnego odbiorcy, ale również adresy email innych adresatów. Dotyczy to mniej niż 3 tysięcy danych osobowych ujawnionych w jednym emailu.

Po natychmiastowym zidentyfikowaniu problemu, firma Star-Typ Sport Zakłady Wzajemne Sp. z o.o. niezwłocznie usunęła błąd z systemu i wyeliminowała wszelkie zakłócenia w jego działaniu.

W związku z powyższym, Star-Typ Sport Zakłady Wzajemne Sp. z o.o. przeprasza za zaistniałą sytuację wszystkie osoby do których mogły trafić informacje dotyczące innych posiadaczy kont na platformie sts.pl.

Jednocześnie zwracamy się z uprzejmą prośbą o zachowanie poufnego charakteru przekazanych danych oraz niezwłoczne usunięcie emaila zawierającego błąd.

Z poważaniem,
Łukasz Świerk
Pracownik Działu IT

Ah te “błędy programistyczne”…

Dlaczego takie ujawnienie e-maili może być dla firm groźne?

Oprócz ew. kar (kilku z czytelników zapowiedziało złożenie skargi do odpowiednich urzędów), firmę może spotkać rzecz zdecydowanie gorsza. Przejęcie bazy jej klientów przez konkurencje, która często ma swoich “lurkerów” w newsletterach.

Dokładnie taka zagrywka miała miejsce przy okazji pomyłki firmy Satel, o której pisaliśmy 2 tygodnie temu (por. Kolejne 10 000 PLN wywalczone na hospicjum dla dzieci).

Po kilku chwilach od pomyłki pracownika firmy Satel, na ujawnione adresy klientów tej firmy przyszła oferta od …konkurencji, firmy MW Power. Pracownik tej firmy znajdował się wśród odbiorców feralnego mailingu do klientów Satela i kilku naszych czytelników, (którzy nigdy z firmą MW Power nie miało nic wspólnego) podejrzewa, że to nie przypadek iż pierwszy “spam” od MW Power otrzymali na adresy podane firmie Satel i tuż po ich ujawnieniu w mailingu.

Niestety firma MW Power milczy — zarówno na adresie ogólnym, jak i pod adresem prezesa oraz pracownika, który znajdował się w grupie odbiorców mailingu Satela. Może zapadła się ze wstydu pod ziemie? Bo jeśli prawdą jest, że wysłała niezamówioną informację handlową na adresy e-mail pozyskane w wyniku pomyłki konkurencji, to czyn taki można uznać za wypełniający znamiona zarówno artykułów kodeksu karnego dotyczących tzw. “nieuczciwej konkurencji” jak i artykułów dotyczących tzw. “spamu”.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

40 komentarzy

Dodaj komentarz
  1. mysle ze STS chcialby po prostu stestowac czy ktos moze im wykrasc jeszcze baze danych i troche hashy, albo zDDOSowac strone, zanim dojda do wniosku ze warto bylo jednak kupic ksiazki.

  2. Pisałem do Was odnośnie pewnej Łódzkiej drukarni, nie wiem czy mail się gdzieś zawieruszył, bo nie odpisaliście, niemniej jednak – także skończyło się tylko na przeprosinach.

  3. A to “release24” w otwartej karcie na screenie czemu służy? >]

    • TotalCommander pewnie też legalnie kupiony…
      A tyle pięknych alternatyw wokół, jak na przykład rodzimy FreeCommander czy niemiecki MultiCommander.

    • Wygląda na jakąś stronę o filmach… Listy plików dostępnych na torrentach, ale bez samych torrentów? Napisy do tych filmów z torrentów? No ja nie wiem.
      Ale proszę. Nie przyczepiajcie się do tego, co kto ma otwarte. Różni ludzie mają różne rzeczy, można sobie obejrzeć, ale śmianie się z tego mi sprawia przykrość.

    • Jendrej, ale wiesz że odpowiadasz na komentarz sprzed 3 lat?

  4. oj tam… to tylko mniej niż 3 tys maili… :)

  5. Źli ludzie przerwali czytelnikowi grę w WOTa ;-)

    • nie marudź, tylko gwiazdki zbijaj ;)

    • Pewnie to tylko launcher i aktualizacja się ściągała/instalowała. :) W takim przypadku nie dziwota, że sprawdzał maila, przeglądał jakieś info na temat filmów i pisarzu (patrz karty w przeglądarce).

      Mógł lepiej się zająć ‘cenzurą’ – bazgranie pędzelkiem w paint’cie jest słabsze od po prostu rysowania prostokątów, uparty mógłby próbować odczytać dane. A i prostokąty szybciej się robi i można na pasku też przeciągnąć. (Moja cenzura przy postowaniu screenów: zasobnik systemowy, pasek szybkiego uruchamiania, pasek zadań; w przeglądarce pasek zakładek, ikonki dodatków, inne karty. – Po co komu jakie programy i dodatki posiadam/działają i jakie strony przeglądam.)

    • Zawsze zastanwia mnie jak malo osob uzywa klawisza print razem z altem. Wystarczy sie przyzwyczaic i pozniej nie ma takich unintended disclosures.

  6. jeśli u nas admin by skierował newsletter na złego mx-a to byłoby to samo: aplikacja wysyła paczkami maile do 5000 odbiorców (, a mx rozdziela to na pojedyńcze adresy, personalizuje i grupuje per mx docelowy. twierdzenie klienta o błędzie programistycznym jest wiarygodne.

  7. A jak wyglądają statystyki takich spraw? Ile pozwów w sprawie o spam albo ujawnienie e-maila jest rocznie składanych? W ilu z nich zapadają wyroki i jakie to są kary? Bo coś czuję że to prawo jest martwe i jeśli taka firmadobrowolnie nie przekaże darowizny, to trudno pociągnąć ją do odpowiedzialności.

    • Trudno ? Jeśli firma nie ma zgody na taką reklamę a wysłała ją do osoby prywatnej to jest na z góry przegranej pozycji.
      Pozywający ma dowód w postaci maila. To oskarżona firma musi wykazać, że to:
      – nie spam
      – ma zgodę adresata na wysłanie takiej informacji
      W przypadku np. MW Power prawdopodobnie nie ma ani jednego ani drugiego. A argument o “pozyskaniu adresu z ogólnie dostępnej sieci Internet” przekonałby chyba tylko Panią Jadzię z mięsnego ;)

    • Spraw jest bardzo mało, bo świadomość prawna wszystkich jest b. mała. Dopiero po przeprowadzeniu warsztatów dla policji przez Fundację, zmieniło się nieco podejście do tego typu spraw. Jako fundacja prowadzimy obecnie kilka spraw – wszystkie na etapie prowadzenia dochodzenia przez policję (oprócz tego sprawy, zakończone lub opracowywane przez samą fundację). Więcej szczegółów wkrótce ujawnimy na https://www.facebook.com/FundacjaFORCE
      PS Mam nadzieję, że Niebezpiecznik nie obrazi się za tę autopromocję :)

    • Dla mnie i dla Ciebie sprawa jest oczywista, ale jeśli pani Jadzia z mięsnego będzie zasiadała w sądzie, to może na to patrzeć zupełnie inaczej (ostatnio przekonuję się że ludzie z sądownictwa w ogóle dziwnie patrzą na świat). Stąd też moje pytanie – Jak kończą się sprawy o spam w polskich sądach.

    • @Torwald – mówimy tu o ujawnieniu majla, a nie o spamie… ;]
      Ewentualny spam wynikły z takiego wycieku, to rzecz następna… ;]

  8. Uwielbiam darmowe, targetowane listy mailingowe! :P

  9. Bez urazy dla autora screena, ale nie sądziłem, że ktoś jeszcze używa tej krowy Vuze (Azureus). Człowieku. Pobierz sobie uTorrenta 2.2.1 Build 25534 (wersje 3.x są przekombinowane) i zobacz co oznacza lekki klient torrenta.

    http://ge.tt/api/1/files/1wukmaf1/0/blob?download

    Jesteś paranoikiem bezpieczeństwa i chcesz program na licencji Open Source? Polecam qBitorrent. Wygląd niemal identyczny jak uTorrent i równie lekki jak on.

    http://portableapps.com/apps/internet/qbittorrent_portable

    Do czego ci ta krowa Vuze?
    ==========================================================================
    Co do tematu, to mój Administrator Wspólnoty Mieszkaniowej zrobił taki sam błąd i otrzymałem maile wszystkich właścicieli nieruchomości, którymi administrują. Oczywiście temat zlali i nawet nie przeprosili. Kary brak. Czy można było coś z tym zrobić?

    • Na to samo zwróciłem uwagę :D
      Co do qBittorrenta, to mimo podobnego na pierwszy rzut oka wyglądu, brakuje mu naprawdę wielu funkcji dostępnych w uTorrencie.
      Jeżeli ktoś szuka lekkiego klienta to polecam Transmission, dostępny także pod Windowsa.

    • Złóż skargę do GIODO – zapłać 25 zł za to, że GIODO przyjdzie i przetrzepie im każdy komputer i sprawdzi, czy każda szafeczka jest na kluczyk. A jak wykryją nieprawidłowości to administratorowi bezpieczeństwa informacji grozi do 3 lat pozbawiania wolności.
      W Polsce prywatne firmy płacą grube pieniądza ABI za sam fakt, że mogą ponieść odpowiedzialność karną, ale we wspólnocie to może być pani Jadzia, która podpisała, co jej kazali podpisać, żeby prace dostać. Twoja wola czy chcesz ryzykować wysłanie takiej przypadkowej osoby do pudła.

  10. A fe STS! Bardzo nieładnie. Skoro STS nie zamierza za swoją wtopę kupić książek ani dać kaski na dom dziecka, to proponuję, żeby użytkownicy niebezpiecznika bojkotowali STS, zamiast na zakłady sportowe przeznaczając w tym miesiącu pieniążki na jakiś dom dziecka/fundację, zamiast na zakłady.

    Dali upy, mogli kontrolować koszty tej wtopy przy okazji pomagając, ale pokutwili, więc teraz zróbmy, żeby ich to kosztowało o wiele więcej.

    Proponuję 0 zł na zakłady przez najbliższe 3 miesiące + list otwarty do STS informujący o akcji i jej przyczynach.
    Namawiajcie znajomych! Zakładając, że każdy wydaje na zakłady sportowe średnio 50 zł miesięcznie i namówimy do akcji 1000 osób (circa 1/3 osób pokrzywdzonych), to przez 3 miesiące 150 tysięcy złotych trafi na domy dziecka, zamiast do kieszeni STS.

    Wszyscy, którzy chcieliby się wyłamać z akcji bez kaca moralnego mogą kupić odpust w postaci jednej nowej, wartościowej książki przekazanej dowolnie wybranej szkole/bibliotece/domowi dziecka.

  11. Ciekawe ile z tych adresów należy do sędziów i piłkarzy. Dla nich może to mieć poważne konsekwencje, vide przypadek Huberta Siejewicza.

    • Sprawdz na facebooku.

  12. Myślę, że nie ma co jeździć po sądach z firmą STS, tylko nagłośnić sprawę, iż nie potrafią poddać się dobrowolnie karze. Kreska na marce jest o wiele bardziej bolesna dla przedsiębiorstwa niż kara za spam, którą ewentualnie zapłacą i nikt się o tym nie dowie.
    Pozdro

    • GIODO po otrzymaniu zgłoszenia sam prowadzi postępowanie. Żadnego chodzenia po sądach nie będzie, co najwyżej godzinka w charakterze świadka – a wtedy zwolnienie z pracy i koszta dojazdy zwracają.

    • GIODO łaskawie rusza swoje ciężkie cztery litery po tym, jak zapłacisz im 10 pln za zgłoszenie, a i wtedy nie zawsze, próbowałem kiedyś zgłosić coś tego typu, ale urzędniczy imposybilizm wziął górę. Zwrot jakickolwiek kosztów to też raczej tylko dla ludzi pracujących na etacie.

  13. Ogólnie mówiąc, mnie się już powoli odechciewa “walki” ze spamem. Bezczelność spamerów oraz spamerskich firm nie zna granic. Trzebaby po prostu zatrudnić prawnika (ba, wielkie stado prawników) tylko do tej “walki”.

    Tak btw. ciekawi mnie fakt czy dozwolone jest przesyłanie spamu i pytań o przesłanie spamu pod adresy firmowe ale… ukryte – np. nie_pisz_tu@domena.coś które są wbite gdzieś w strone www jako pułapka antyspamowa. W końcu jeśli spam do firm jest dozwolony, to rozumiem że pod oficjalnie uzyskany adres – a nie pod wszystko_co_sie_rusza z @małpą ;) ;) ;)

    • Jeżeli ktoś prowadzi firmę jako osoba fizyczna, to nie ma żadnych uzasadnionych wątpliwości, że jest chroniony prawnie. W innym razie należałoby pochylić się indywidualnie nad przypadkiem.

  14. STS zmniejszył zaraz przed mistrzostwami wysokość maksymalnej wygranej w nagrodę ze swojej pazerności (również przykład powyższy) powinni bulić.

  15. Mam pytanie, dotyczące spamu. Zacząłęm dostawać spam na adres widniejący na stronie uczelni wyższej. Jest to mój prywatny adres jako pracownika. W spamie najczęsciej jest napisane, że mail został pozyskany ze strony firmowej lub ogólnie dostępnej… itp. Według mnie adres ten jest udostepniany do kontaktu dla studentów. Uważam również, że strona uczelni nie jest raczej stroną firmową bedąc jednostką budżetową. A możę się mylę? Mam oczywiśćie na myśli jakieś kolejne pieniądze na np. dom dziecka lub książki. Czy w takim przypadku jest o co walczyć czy odpuścic? Pomóżcie.

    • Ja nie odpuściłem firmie od “profesjonalengo sprawdzania artykułów”. 200 zł na dzieci – lista miała raptem 5 pozycji. Dyskusja zajęła kilka maili.

  16. no pięknie “spersonalizowane” te e-maile ;)

    • Oni nawet nie potrafią poprawnie napisać słowa “e-mail”…

  17. Macie jakiś pomysł na złośliwych spamerów? Dostawałem głupie oferty z podpisem angielskionline. Na zapytanie skąd mają mój adres i na jakiej podstawie go przetwarzają odpowiedziała firma Mailad Sp. z o.o że zbierają maile z automatu i rozsyłać firmom mogą. Ciekawe że zdobyli od razu 3 różne emaile z różnych domen, wszystkie prywatne. Od tego dnia na skrzynkę z której się do nich odezwałem zacząłem dostawać po kilkadziesiąt śmieci dziennie. Podejrzewam że zapisali mnie złośliwie na jakieś g.. listy.

  18. Pisałem do Was o podobnej sytuacji z GFK Polonia, niestety nie było zainteresowania z Waszej strony, a niedawno dostałem oficjalne stanowisko GFK w tej sprawie.

  19. Wcale nie widać, że pierwszego e-maila wysłał ten sam pan, który później za to przepraszał ;)

  20. […] STS musi być bardzo uciśniony, bo jako jedyna z firm, która popełniła wpadkę polegającą na ujawnieniu danych osobowych swoich klientów, nie poszła honorowo za ciosem i nie dofinansowała domu dziecka ani nie kupiła książek […]

  21. Ostatnio przychodzą mi oferty z bonusem powitalnym od Totolotka. Plotka głosi, że przychodzą na emaile “odkupionych od STS klientów”, ale mi to właśnie śmierdzi tu opisaną sprawą :)

    Oczywiście u buków naziemnych nie gram, bo to się kompletnie nie opłaca. Konkurenci mają lepsze kursy i oferty.

  22. […] Jak na razie, ze znanych firm, które popełniły tego typu wpadki, tylko STS ani nie przeprosiło, ani nie kupiło książek (tak, to ci, których VaGla podejrzewa o lobbing w kwestii cenzury internetu). STS nie jest jednak […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: