17:37
4/5/2020

Wycieki ostatnio chodzą po klientach internetowych sklepów (i nie tylko). Do grona firm, które straciły dane części klientów dołącza apteka Gemini. To naruszenie danych osobowych jest ciekawe z trzech powodów.

Po pierwsze — i za to należy Gemini pochwalić — apteka poszkodowanym wysyła upominek! Drobny gest, a może spowodować zupełnie inny odbiór informacji “straciliśmy Pana dane i uprzejmie przepraszamy, obiecujemy się szkolić i wstaw tu wszystko inne, co się przekleja z poprzednich oświadczeń”. Ciekawi jesteśmy jak klienci na niego zareagują.

Po drugie — i tu też pochwała — jak zaraz zobaczycie, Gemini problem ogarnęło dość szybko, w 20 minut było po zabawie (choć ofiary pewnie i tak poszły w setki).

Po trzecie — i tu już pochwały nie będzie — wiadomość do klientów jest …taka jakaś dziwna, uber-prawniczo-nieskładna. Jak można w niej przeczytać (wytłuszczenia nasze):

W trybie art. 34 pkt 1 i 2 ogólnego rozporządzenia o ochronie danych w imieniu Administratora Danych Osobowych Gemini Hutter Sp. z o.o. informujemy, iż w dniu 28 kwietnia br. doszło do naruszenia bezpieczeństwa Pana/Pani danych osobowych na stronie www.aptekagemini.pl.
Na wstępie z całą mocą chcielibyśmy podkreślić, iż dostęp do Pani/Pana danych osobowych był wynikiem błędu ludzkiego a nie następstwem zamierzonych działań ze strony osób trzecich np. cyberataku zmierzającego do wykradzenia danych osobowych z naszej bazy danych. Dostęp do danych znajdujących się na koncie użytkownika przez osobę nieuprawnioną był krótkotrwały i możliwy jedynie w czasie od 13:27 do 13:45 w dniu 28.04.2020r. Awaria w momencie wykrycia została natychmiast usunięta.
W wyniku zaistniałej sytuacji nie zostały ujawnione, jak również nie wyciekły na zewnątrz hasła do kont użytkownika, hasła nie zostały zresetowane ani osoby nieupoważnione nie uzyskały dostępu do tych haseł. Jednocześnie należy zaznaczyć, iż dane zostały ujawnione w bardzo krótkim przedziale czasu ograniczonej liczbie użytkowników i potencjalna próba wykorzystania Pani/Pana danych osobowych w nieuprawniony sposób może narazić te osoby na odpowiedzialność karną i odszkodowawczą.
Jest nam niezmiernie przykro w związku z zaistniałą sytuacją. Dołożymy wszelkich starań, aby podobna sytuacja nie miała miejsca w przyszłości.

Gemini wskazało też, że ujawnione dane obejmują następujące informacje:

    1. Imię i nazwisko
    2. NIP
    3. Dane kontaktowe – nr telefonu, e-mail, adres kontaktowy
    4. Dane adresowe
    5. Historia zakupów w aptece internetowej

Z opisu wygląda to na problem, z jakim borykało się wiele serwisów. Od UPC przez Media Expert do Allegro. Czyli problem z cachem, który jednym użytkownikom pokazywał dane innych. Błąd faktycznie, nienajgorszy i skomentować to można tak:

Ale nie jesteśmy pewni, że tłumaczenie się w taki sposób, to dobry pomysł:

potencjalna próba wykorzystania Pani/Pana danych osobowych w nieuprawniony sposób może narazić te osoby na odpowiedzialność karną i odszkodowawczą.

Wręcz jesteśmy przekonani że to pomysł niezbyt dobry. I na pewno zabawny. Parafrazując:

proszę Pana, straciliśmy Pana dane, ale nic Panu nie grozi, bo tych danych nie da się leganie wykorzystać, więc każdy kto będzie próbował naraża się na odpowiedzialność. Proszę spać spokojnie i cieszyć się naszym upominkiem.

Oczywiście przejaskrawiamy, ale trochę nas to zdanie ubawiło. Po raz kolejny widać, że informowanie klientów o naruszeniach ich danych, wymaga jednak pewnego wyczucia i czasem odpędzenia kijem prawników (tylko lekko, bo nieprawomocnie za mocne użycie kija lub choćby groźby może narazić sprawcę na odpowiedzialność cywilną a nawet karną).

I tradycyjnie. Poszkodowanym klientom Gemini, na hasło “tussipect” także przyznajemy -35 PLN rabatu na dostęp do nagrania naszego webinara (wpiszcie je w polu “kupon”). Webinar jest idealny, bo mówi o tym jak przygotować się na wycieki naszych danych z serwisów internetowych i co zrobić, jak już do nich dojdzie. A dojdzie do nich. To dość przekrojowy zbiór porad — informujemy z jakich usług warto (bo są skuteczne i darmowe lub tanie), a z jakich nie należy korzystać (bo kosztują i nie dają gwarancji) kiedy nasze dane wyciekną. Nagranie możecie zobaczyć tutaj.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

25 komentarzy

Dodaj komentarz
  1. Na jakiej zasadzie działa kupon promocyjny ? Czy muszę być na liście wycieku ? Czy ma to być imię i nazwisko czy email ? Jak email to kiepsko bo mój email był u nich w bazie (sprawdzone w 1password) ale nie mam już tego emaila.

    • Oczywiście zaprzeczamy, że mamy jakąkolwiek listę poszkodowanych więc w żadnym wypadku nie będziemy weryfikować osób, które podają kod w bazach z wyciekami, których nie mamy.

    • Pytanie za 100 pkt jak sprawdzić czy moje dane są na liście?

  2. Coś czuje że dzisiaj zarzucicie ludzi rabatami. Tyle wycieków to chyba jeszcze nie było i to w ciągu jednego poniedziałku!

  3. Podany kupon nie działa :(

    • Cholerka! Użyj tego dla studentów politechniki. A my już zwalniamy dodawacza kodów. Zaraz będzie!

  4. Ostatnio dużo tych wycieków…

  5. O, ktos tam sie urwal z korpo :)

    Bardzo profesjonalny list (w sensie relacji pracownika ktory go pisal i pracodawca, bo spolecznie to juz raczej meh) – zostal w ten sposob zeby wypelnic wymagania prawne zwiazane z wyciekiem (RODO), nie dac punktu zaczepienia dla ewentualnych dodatkowych roszczen prawnych od poszkodowanych i przy okazji uspokoic (slusznie lub nie) tych ktorych da sie uspokoic.

  6. A mnie intryguje, dlaczego nie otrzymałem maila, a mieli moje dane (zakupy w marcu). Czy to oznacza, że nie dopełnili obowiązku informacji, czy też akurat moje nie wyciekły?

    • Dziwne, dokonywałem w tej aptece zakupu a powiadomienie o wycieku nie dotarło.

  7. Drugi kupon działa, ale za to nie przychodzi link do webinara, dostałem tylko link z potwierdzeniem wpłaty :(
    W spamie nic nie siedzi, a poczta z gmaila, więc raczej problemów być nie powinno :[

  8. Albo mają tak dokładne rozpoznanie zakresu wycieku albo coś poszło nie tak, bo miałem tam konto a nie dostałem info…

    • U mnie to samo. Skoro to cache było winne, to może nic mojego nie wyciekło bo nie logowałem się tam od dawna. Jak będę pamiętał, to za jakiś czas napiszę do nich maila i zapytam.

  9. Cholera, wszędzie amatorzy pchają się do zabawy. Już tam nie zrobię zakupów.

  10. Mam u nich konto, robiłem wiele zakupów, ale też nie dostałem od nich żadnego maila o wycieku. ;)

  11. A jak ktoś kupował w stacjonarnej aptece też ma się obawiać o swoje dane?

  12. To jest ciekawe bo screen maila jest z 29 kwietnia, a 28 kwietnia otrzymałem maila od Gemini o zmianie regulaminu. Pszypadeq? Nie otrzymałem informacji, czy moje dane wyciekły czy nie.

  13. tussipect ;-) ryzykowne zagranie ;-)
    efedryna – czy można z tego “ugotować” coś mocniejszego ;-)

    a czemu nie flegamina? – ma w sobie alkohol- też odkażający element

  14. Co do wycieków i Waszego webinara to często wspominanym problemem jest wyrobienie duplikatu karty SIM po wycieku naszych danych.

    Mówicie też, że nie da się przed tym zabezpieczyć. Według mnie jest na to sposób – dobrym rozwiązaniem jest wysłanie do swojego operatora prośby o wymóg hasła przy każdym kontakcie (np podczas wyrobienia karty SIM). Wtedy nawet znając wszystkie dane, włącznie z numerem dowodu i PESELem bez znajomości tego hasła nikt nic nie wskóra :)
    Nie wiem czy oferują to wszyscy operatorzy, ale 2 u których usługi posiadam bez problemu hasło zakładają, z tym że zwykle trzeba to wysłać w formie reklamacji z prośbą o założenia hasła, bo dane wyciekły.

    Wiadomo… to hasło też może wycieknąć, ale zawsze dodatkowa warstwa ochrony ;)

  15. Ten mail o wycieku może nie jest idealny… ale widziałem duuużo gorsze zachowanie firM. Wręcz bym nawet powiedział – ma pewne niedoskonałości, ale więcej zalet niż wad.

    • Ten syrop był naprawdę dobry na wszystko. Nawet na imprezy :)

  16. Zapewnienia Gemini nie są zgodne z prawdą, mam screeny, które potwierdzają, że o godzinie 16 nadal występował ten problem.

  17. […] Warszawskiej to zdecydowanie jeden z najpoważniejszych wycieków nie tylko tego, pełnego wycieków tygodnia. Nie tylko studenci zwracają się do nas z pytaniami w tej sprawie, ale […]

  18. Po co wycieki za darmo, jesli mozna na tym zarobic? Janusze aptekarstwa z Gemini sprzedaja wrazliwe dane pacjentow do MS i Amazona. https://serwisy.gazetaprawna.pl/zdrowie/artykuly/1484157,profilowanie-pacjentow-gemini-e-recepta-dane-osobowe.html

  19. Dalaj slepo wierz farmacji

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: