18:07
2/2/2015

Jeśli regularnie czytacie Niebezpiecznika, to wiecie, że często publikujemy wpadki firm związane z brakiem użycia pola BCC w masowej wysyłce e-maili. Takie sytuacje zdarzają się od czasu do czasu nawet firmom informatycznym — a kilka dni temu pracownikowi firmy Unizeto:

Tego typu błędy, po pomyśle jednego z naszych czytelników, staramy się przekuwać na coś dobrego – np. książki dla lokalnych bibliotek. Zapewne z tego powodu, jeden z odbiorców zareagowało m.in. tak:

Dzień dobry,
Bardzo dziękuje za bazę danych kontaktowych Państwa klientów. Podejrzewam jednak, że ani ja, ani nikt z niżej wymienionych, nie wyraził zgody na ujawnianie danej osobowej jaką jest jej adres e-mail (dla jasności – wszystkie adresy trafiły w pole CC zamiast BCC), w kontekście ustawy o ochronie danych osobowych.

Proszę przeczytać poniższe artykuły:
https://niebezpiecznik.pl/post/nordea-ujawnia-e-maile-600-klientow/

https://niebezpiecznik.pl/post/warszawski-urzad-ujawnia-e-maile-obywateli-i-dostaje-ciekawa-propozycje-zadoscuczynienia/

https://niebezpiecznik.pl/post/warszawski-urzad-ktory-ujawnil-adresy-e-mail-obywateli-akceptuje-kare-zakupi-ksiazki-i-nie-tylko/

https://niebezpiecznik.pl/post/nordea-obiecuje-kupic-ksiazki-za-10-000-pln-po-tym-jak-drugi-raz-ujawniala-e-maile-klientow/

https://niebezpiecznik.pl/post/brawo-allegro-biblioteka-dostala-ksiazki-a-odbiorcy-maila-darmowa-usluge/

https://niebezpiecznik.pl/post/kolejne-10-000-pln-wywalczone-na-hospicjum-dla-dzieci/

Chciałbym załatwić sprawę polubownie – ponieważ Państwa firma powinna gwarantować bezpieczeństwo, a tutaj jawnie zostało ono naruszone, proponuję wpłatę na dowolne wybrane hospicjum 10 zł za każdy ujawniony e-mail. Na odpowiedź czekam do piątku do 17:00, później sprawa trafi do odpowiednich służb.
P.S. W korespondencji załączam Redakcję Niebezpiecznika, która “patronuje” takim akcjom.

Nie trzeba było długo czekać. Już następnego dnia otrzymaliśmy oficjalne stanowisko Unizeto:

Odpowiedź Unizeto

Odpowiedź Unizeto

30 stycznia Unizeto poinformowało, iż przekazało kwotę 3000 na konto Hospicjum św. Jana Ewangelisty w Szczecinie. Bardzo nas cieszy, że większość z firm potrafi się przyznać do wpadki i przyłącza się do zapoczątkowanej w zeszłym roku akcji darowizn. Jak widać, niektóre firmy są hojniejsze niż początkowe założenia, czyli przekazanie kilku książek do lokalnej biblioteki.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

27 komentarzy

Dodaj komentarz
  1. XXI wiek a programy pocztowe dalej nie maja komunikatu: “UWAGA: wstawiles ponad 10 osob do CC. Czy jestes pewien, ze wiesz co robisz?”

    Ale nie.. po co… za to mam komunikat o braku tematu, braku zalaczniku jak uzyje frazy “w zalaczniku”, reklamy kontekstowe do tego co pisze/czytam i cala mase innych “ficzerów” ktorych nawet nie chce mi sie wymieniac, eh..

    • Można by pójść jeszcze dalej i zamieniać CC w BCC po stronie serwerów poczty gdy zostanie wykryta wielokrotność adresatów w tym polu. Napisałem o tym pomyśle u siebie na skutek trafienia na identyczną “podatność” podczas wysyłania MMS-a z urządzenia mobilnego do wielu adresatów naraz (każdy odbiorca MMS dostał pełną listę adresatów): http://monter.techlog.pl/fuck-up-podczas-wysylki-mms-do-kilku-osob-naraz/

    • A zgłosiliście już te CC -> BCC jako RfF gdzieś? Oczywiście oprócz komentarzy na Niebezpieczniku.

    • Jak to nie ma?
      https://addons.mozilla.org/pl/thunderbird/addon/use-bcc-instead/
      (ostrzeganie o braku załącznika w thunderbirdzie także pierw było dostępne wyłącznie jako dodatek)

    • W 99% przypadków wysyłam maile z CC celowo – aby wszyscy wiedzieli kto dostał i mogli odpowiedzieć tej samej grupie osób. Jeśli program by mi to podmieniał na BCC to tylko utrudniłoby pracę – pozwólmy ludziom myśleć i popełniać błędy.

  2. W obecnej formie wygląda to nie jako wpłata dobrej woli i zadośćuczynienie a zwykły bezpośredni szantaż. Cel słuszny ale metody i przyczyna wpłaty już mniej.

    • Też mi się to nie podoba. Forma przekazania darowizny utrwala negatywne emocje z nią związane. Udzielenie pomocy zaczyna się kojarzyć z karą i szantażem, “nie wpisujcie adresów w CC, bo będziecie musieli wesprzeć sieroty…”.

    • Również odniosłem takie wrażenie. Napisane w bardzo “agresywny” sposób.

    • No cóż, my na treści listów czytelników-“ofiar” do ujawniaczy nie mamy wpływu. Sami stoimy na stanowisku, że warto _poprosić_ (nie kazać) o przekazanie lokalnej bibliotece symbolicznej książki dot. bezpieczeństwa teleinformatycznego; od tego się przecież zaczęło i to jest w naszej ocenie w zupełności wystarczające. Cieszymy się, że niektóre firmy idą krok dalej i wspierają także organizacje charytatywne — chcielibyśmy jednak, aby to wychodziło od samych firm, a nie od agresywnych e-maili czytelników. Bo w tej akcji od początku chodziło przede wszystkim o uświadamianie i szerzenie wiedzy.

    • Oczywiście, grzeczniej byłoby lepiej, ale tak też jest OK, bo główny cel, czyli zwrócenie uwagi na złe praktyki, został osiągnięty, a można liczyć, że firma, która płaci za swoje błędy i zostaje opisana w mediach, będzie zapobiegać podobnym wypadkom w przyszłości.

  3. Taka opcja jak BCC powinna byc domyslna w klientach pocztowych.
    Nie kazdy szary uzytkownik wie jak to dziala, a poza tym latwo o tym zapomniec nawet jesli wie.
    Drugiego maila z dolaczonymi kontaktami CC zawsze mozna doslac a usunac tych wyslanych juz sie nie da.

    • No proszę Cię, jakie ‘nie wie jak to działa’? Obsługi e-maila uczy się dzieci w szkole podstawowej i jest mowa o tym które pole do czego służy.

      A najlepsze wyjście to zaprzestać rozsyłać masowy spam. Wtedy ryzyko że się źle wklei 500 adresów jest zerowe.

    • Tylko że nie każdy z obsługujących pocztę jest na tyle młody, że uczył się tego w szkole. Poza tym informatyka w szkołach jest baaaaardzo różnie prowadzona, a do tego za to, że ktoś się tego nie nauczył w szkole (wszystko jedno – ze swojej winy czy nie) zapłacisz obecnie Ty, a tak być nie powinno. No i w obecnej postaci nawet świadomym użytkownikom poczty błędy się zdarzają i będą się zdarzać, dlatego też uważam, że BCC powinien być “difoltem”, a nie dodatkowym bajerem.

    • @Cyber Killer: wiesz, mnie w drugiej klasie technikum informatycznego na przedmiocie ‘Systemy operacyjne i sieci komputerowe’ uczono co to jest pasek zadań, tray, jak obsługiwać menu start (sic !!). Szkoła do złych nie należała, można powiedzieć że była trochę ponad przeciętną (bardziej wymagające były tylko dwa licea, zaś mniej wymagające zawodówki). Taki mamy program nauczania – nawet babeczka (całkiem miła i ładna ;))) stwierdziła, że to są pierdoły. które powinniśmy znać po zakończeniu podstawówki, ale ona musi realizować ‘ten chory program’ (jej własne słowa). A żeby było jeszcze śmieszniej, to 3/4 klasy ledwo zdawało z tego przedmiotu – pozwolę to sobie pozostawić już bez komentarza..

  4. Niech wygląda jak wygląda, imo lepiej żeby te pieniądze trafiały do sierotek niż w ręce Państwa.

  5. I dlatego właśnie software do mailingu, który piszemy, pozwala wysyłać wiadomości tylko po BCC.
    Pozdrawiam profesjonalnych outlookowych wysyłaczy ;)

    • Bo CC się nie używa ;) Geniusze… Już na starcie Wasz “software do mailingu” jest na ostatnim miejscu, a to dlatego, że żadna firma tego nie wykorzysta. Mailingi w zespołach firmowych zazwyczaj są kierowane do kilku osób głównych w To: lub do kilku w To: i np. menedżera jako CC, by wiedział co i jak, w końcu po to te pole jest “do wiadomości”… A prywatnie? Większość userów i tak korzysta z webmaili to co im po takiej aplikacji, albo po co w ogóle mają coś dodatkowego instalować jak mogą się zalogować na gmail/wp/onet/yahoo/itp…

  6. A co jeżeli ja, będąc w gronie osób ujawnionych, nie chcę załatwiać tego polubownie? Dlaczego jakiś “prawilny” pseudo-informatyko-prawnik ma za mnie decydować jak to chcę załatwić? “10 zł za każdy mail?” A ja uważam, że ma być 500 za każdy. I co, łyso?

    Wg. mnie firma powinna przeprosić, owszem, ale takie teksty to sobie można. Kto dał mu prawo wypowiadania się w imieniu wszystkich?

    Firma powinna w takim razie poczekać na pismo i iść do sądu, aby załatwić to z literą prawa, spasać, iż wszyscy się zgadzają na takie załatwienie sprawy. Bo co np. jak ja teraz do nich napisze i powiem ze mają po 500 wpłacić? Ze mną nie uzgadniali tej decyzji na “10 zeta za sztukę” i jak nie wpłacą 500 od łebka to idę do sądu?

    I tak jak ktoś już napisał, mail brzmi jak szantaż. A wisienką na torcie jest podawanie linków do NB jako wiarygodnego prawniczego źródła, tylko dlatego, że jakieś firmy w przeszłości na to poszły…

  7. >Sugerowanie, że Unizeto nie zrobiło tego specjalnie. Co robić, jak żyć?

  8. Co to jest 3k PLN dla takiej firmy jak Unizeto? Jeszcze sobie od podatku odpiszą…

    Firmy udostępniające dane wbrew woli właścicieli powinny płacić “karę” procentowo od rocznego dochodu, a nie jakieś marne grosze. Za 3k kupili sobie dobry PR – “jacy to jesteśmy w porządku, przyznaliśmy się do błędu i ponieśliśmy karę”.

    A upublicznione dane nadal pozostają publiczne, bo nie mają wpływu na to co z nimi dalej się dzieje…

    • Albo odbiorą z pensji osoby, która wysłała e-mail ;)

  9. Ludzie, więcej pokory. Takie lekkomyślne ujawnianie adresów jest naganne, ale nie można zapominać, że może być wynikiem błędu, a nie ma ludzi nieomylnych. Nie można za każdy błąd i każdego od razu szantażować określonym przez czyjeś widzimisię wydatkiem.

  10. “Wobec osoby, która dopuściła się powyższej sytuacji zostały wyciągnięte konsekwencje służbowe”

    Wyczuwam wolny etat w Unizeto – gdzie podesłać CV? 3:)

  11. i biedna osoba została zwolniona ;/

  12. Ktoś chyba nie przeskoczył do nowego roku :)

  13. Mam pytanie do Niebezpiecznika, gdyż, dostałem podobny mail, od konińskiej firmy z listą adresów email w polu TO:. Wiadomo, początki w spamowaniu bywają trudne.

    Macie może jakiś grzeczny szablon listu, który wspierałby szczytną akcję doposażania bibliotek w książki, który można by załączyć w odpowiedzi?

    Da się przesłać do was maila z załącznikiem w PNG, bez ryzyka, że ktoś go przeczyta, czy serwer zablokuje załącznik? e-maile poszkodowanych ukryję, przynajmniej z mojej strony mogą być bezpeiczniejsi. :)

  14. Z tego co widać na screenie wynika, że większość maili, to są jednak adresy służbowe. Nie znam się na tym, z ciekawości coś tam sobie poczytałem np: http://nf.pl/po-pracy/firmowe-adresy-email-a-ustawa-o-ochronie-danych-osobowych,,15334,295
    Pytanie czy tutaj w ogóle było coś nie tak? Bo w tym momencie mi się wydaje, że to nadgorliwość tego “czytelnika”, służbowe adresy email to chyba nie są dane wrażliwe… Co najwyżej może firma mogłaby się upomnieć o swoje, ale na pewno nie zwykły Kowalski, który jest pracownikiem tej firmy (no chyba, że to jednoosobowa działalność?). Jak to jest, jest tu ktoś, kto się zna na tym?

Odpowiadasz na komentarz kes

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: