18:36
1/6/2021

Jak informują nas Czytelnicy, spółka UNIQA — właściciel AXA — rozesłała e-maila bez BCC (UDW). Takie wpadki zdarzają się nagminnie i zazwyczaj nie poświęcamy im artykułów, bo wszystko co było na ten temat do powiedzenia już dawno powiedzieliśmy przy okazji innych tego typu incydentów. Ale ten jest wyjątkowy, bo…

UNIQA najpierw rozesłała e-maila ujawniając dane 1000 klientów w każdym z e-maili (a ile e-maili wysłała, tego nie wiemy, ale co najmniej 3 różne paczki po 1k poszły…):

…a potem ujawniła te same dane jeszcze raz, w drugiej wiadomości, bo ktoś skorzystał z zabawnego mechanizmu “odwołania wiadomości e-mail”:

Nie odwołuj wiadomości Outlookiem!

Przypomnijmy, że “odwoływanie wiadomości” to mechanizm, z którego w takich przypadkach nie powinno się korzystać, bo funkcja “odwołania” wiadomości działa tylko w obrębie organizacji nadawcy e-maila. Programy pocztowe odbiorców z innych domen niż nadawca taką prośbę oleją, wyświetlając “śmieszną prośbę”.

W przypadku UNIQA użycie mechanizmu odwołania wiadomości wydaje się być podwójnie niepotrzebne. Po pierwsze, wiadomość zniknie ze skrzynek pocztowych tylko pracownikom UNIQA, którym przecież znikać raczej nie musi (są uprawnieni do przetwarzania tych danych). Po drugie, pracowników UNIQA raczej ich nie ma w grupie odbiorców, do których wiadomość została skierowana, bo adresatami byli klienci UNIQA.

Najbardziej dziwi, że wedle relacji jednego z poszkodowanych, e-mail z “odwołaniem” nastąpił po kontakcie z Inspektorem Ochrony Danych…

Pytanie do ekspertów od ochrony danych osobowych: czy mówimy tu o jednym czy o dwóch incydentach? ;-)

Pytanie do UNIQA — czy zgodnie ze zwyczajem, będzie 1000 (2000) książek do bibliotek (albo bony do Biedronki)?

A na koniec przypomnijmy, że niedawno inny ubezpieczyciel otrzymał od PUODO karę w wysokości 85 tys. złotych za źle zaadresowanego e-maila, jednego e-maila. 🍿

Dziękujemy wszystkim, którzy przesłali nam informacje i zrzuty ekranu w tej sprawie.


Aktualizacja 1.06.2021, 22:57
Zaktualizowaliśmy artykuł o liczbę osób objętych naruszeniem. Było kilka e-maili, każdy do ok. 1 tysiąca (za każdym razem różnych) odbiorców.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

26 komentarzy

Dodaj komentarz
  1. Czy ta firma Uniqa odpowiedzialności za zaistniałą sytuację? :D

    • Jak sama nazwa wskazuje. ;)

    • Funcja odwołania maili względem jednej organizacji czyli pracownik wysyla maila do wszystkich pracowników zadziała w chwili kiedy a. Nikt nie odbierze maila b. Administrator wyłapie wiadomości na serwerze i je skasuje c. Pracownicy używają logowania web albo imap.. We wszystkich przypadkach admin ma takie uprawnienia na serwerze

  2. > funkcja “odwołania” wiadomości działa tylko w obrębie organizacji nadawcy e-maila

    Nawet w obrębie organizacji nie działa (korzystam z wersji web)

  3. pewnie się od tego ubezpieczyli :P

    • Byle tylko nie we własnej firmie. ;)

    • @Observer
      Nie można się ubezpieczać u siebie.

  4. Bardzo przepraszamy osoby, których adresy mejlowe ujawniliśmy innym adresatom wysyłając informację o zmianie regulaminu. Przepraszamy podwójnie, bo także za skorzystanie z opcji „odwołania wiadomości e-mail”. Był to wynik błędu pracownika.
    Co zrobiliśmy w wyniku zaistniałej sytuacji? Przeprosiliśmy klientów, na bieżąco odpowiadamy na mejle zaniepokojonych klientów. Także pracownicy zostali pouczeni i w najbliższym czasie planujemy ponowne szkolenia z ochrony danych osobowych. Sprawa została zgłoszona Inspektorowi Ochrony Danych, który zakwalifikował ją jako naruszenie danych osobowych. Poinformowaliśmy o incydencie również Prezesa Urzędu Ochrony Danych Osobowych.
    Jest nam bardzo przykro z powodu zaistniałej sytuacji, która niewątpliwie nie powinna nigdy wystąpić. Mogę zapewnić, że podjęliśmy działania by do podobnych zdarzeń już nie dochodziło w przyszłości.
    I odpowiadam na pytanie redakcji – będą książki. Jutro skontaktuję się z redakcją w tym temacie :)
    Katarzyna Ostrowska
    rzeczniczka prasowa Grupy UNIQA w Polsce

    • 1000 osób zna dane pozostałych 999, a jedyne co, to przepraszacie?!

    • zapomniałeś dołączyć listy adresów email do tego komentarza ;)

  5. Jeśli chodzi o adresy firmowe, to wiele firm ma zazwyczaj takie sytuacje w pompie bo zazwyczaj adres mailowy na który takie wiadomości trafiają są łatwe do odnalezienia np. w krs

    • Gdyby chodziło tylko o adresy firmowe, prawdopodobnie nie byłoby problemu, ani newsa na bezpieczniku

  6. “Po pierwsze, wiadomość zniknie ze skrzynek pocztowych tylko pracownikom UNIQA, którym przecież znikać raczej nie musi (są uprawnieni do przetwarzania tych danych).”

    Ciekawe podejscie do uprawnien. To, ze pracownik pracuje w firmie, ktora przetwarza dane (np osobowe) to nie oznacza, ze ma automatycznie do nich dostep. To po pierwsze, po drugie zrobienie repozytorium danych (np imie, nazwisko, email) w mailu tez nie niesie niczego dobrego. Jesli ktos tworzy np kopie kazdego maila wyslanego klientom na serwerze SMTP, musi byc swiadom, ze tworzy kolejne repozytorium danych wrazliwych (np osobpowych).
    Moze wobec tego chec uzycia funkcji “cofniecia” korespondencji nie byla do konca przemyslana w skutkach ale zamysl tez byl dobry, chociazby do usuniecia danych ze skrzynki pracownika. Krytykowanie akurat tego aspektu i twierdzenie, ze przeciez to pracownik firmy i moze miec dostep do danych, jest jak to sie mawialo ze 20 lat temu… lamerstwem :)

    t.

  7. Doprecyzowałbym. Ubezpieczyciel nie otrzymał kary za wysłanie na zły adres (pomijam, że ten zły adres podał klient). Kara była za coś innego. Polecam doczytanie decyzji :-).

  8. Przypomina mi to sytuację sprzed kilku lat jak obsługa platformy zakupowej KGHM wysłała maila do kilkuset osób w polu do, a po kilku dniach ich osoba od rodo zawiadomiła wszystkich o tym incydencie wysyłając maila w ten sam sposób :)

  9. Gmail ma taką fajną funkcję, która daje do 30 sekund na kliknięcie “anuluj” po wysłaniu. Nieraz ratuje tyłek.
    Eksczendż nie ma?

    • A jak nawet ma to pewnie i tak by w 30 sekund tego nie zauważyli.

    • W zoho webmail masz możliwość opóźnienia wysyłki do 120 minut.

  10. Książki? Super! O jakiej tematyce będą? :) Liczę na jedną z dwóch pozycji: 1. “Na czym zarabia ubezpieczyciel i czego agent Ci nie powie” , lub 2. “Profesjonalna ochrona danych osobowych” (choć tej pozycji nie chciałbym czytać od Uniquy).

  11. Kiedyś najpierw się komponowało maila, czytało ze zrozumieniem co isę napisało, sprawdzało się adres czy prawidłowy, a dopiero po wszystkim jak już emocje opadły włączało się modem i maile się wysyłały.
    Ale to było kiedyś.

    • Z komentarzami w internetach też się kiedyś tak robiło, że “isę” napisało i “isę” przeczytało przed wysłaniem.

    • Mnie dotyka inna przypadłość na homeoffice – ca. 1 w miesiącu – piszę długiego wysmażonego maila, poprawiam, komponuję na zdalnym itp, a na koniec coś mnie oderwie od roboty i tak ten mail tam zostaje dzień dwa niewysłany. Jak IT wrzuci poprawki do W10 i zrebootuje w nocy to kaplica.

    • Ustaw sobie w Outlooku autozapis co np. 10 minut. Wiadomość wejdzie w wersje robocze, skąd będzie ją można wysłać w każdej chwili.

  12. Ja to juz wogole nie rozumiem tego typu sytuacji – programy pocztowe od lat wspieraja grupy i inne funkcje “firmowe” itp. gdzie nawet pomijajac wygode i estetyke blednie wyslany email zdradzi tylko bezuzyteczne poza grupa uprawnionych uzytkownikow aliasy.

    Czy nie jest tak ze zrodlem problemow jest znowu ta deb*na chmura, wymuszajaca uproszczenie funkcjonalnosci defakto cofajac nas w rozwoju (o szybkosci dzialania ktora nie zestresowala by weterana I wojny swiatowej nie wspomne)?

  13. Założymy się, że ptyś/ptysica, który/a to wysłał/a w taki sposób w CV ma wklepane – a jakże – doskonała znajomość pakietu Office?

  14. Bo używają O365, w którym aż się prosi o limity poza organizacją, limity per user. Tylko że ten shit tego nie ma. Jest jeden limit globalny na organizację a jak wprowadziłem 50 to kadry od razu krzyczały że ich zablokowałem. “Super” chmura O365 i ich “zaj***sta” usługa exchange.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: