9:09
20/5/2020

Niedawny wyciek danych Fortum, polskiego dostawcy energii, zostanie zbadany przez Urząd Ochrony Danych Osobowych. Postępowanie administracyjne w sprawie możliwego naruszenia przepisów zostało wszczęte z urzędu.

O wycieku z Fortum informowaliśmy 21 kwietnia w tekście pt. Numery PESEL i dowodów wyciekły polskiemu dostawcy prądu, gazu i ciepła. Wyciek został wykryty przez badacza Boba Diachenko, który 16 kwietnia natrafił na publicznie dostępny i niechroniony klaster Elasticsearch. Zestaw danych objętych wyciekiem obejmował imię, nazwisko, adresy (korespondencyjne, zameldowania, zamieszkania), numery telefonów, PESELe, informacje o umowach numery dokumentów (np. dowodów osobistych.

W ramach uruchomionego teraz postępowania prezes UODO wezwał Fortum do przedstawienia szczegółowych informacji związanych z naruszeniem ochrony danych osobowych, w tym okoliczności naruszenia oraz  kategorii danych osób, których dotyczy naruszenie. Urząd przypomniał, że wdrożenie odpowiednich środków nie może być działaniem jednorazowym, a powinny one być na bieżąco aktualizowane.

Niezależnie od wszczętego postępowania administracyjnego Prezes UODO skierował do Spółki wystąpienie o podjęcie działań mających na celu niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych. Ze złożonego zgłoszenia naruszenia ochrony danych wynikało bowiem, że Spółka nie powiadomiła tych osób o naruszeniu.

Tak naprawdę Fortum informowała o naruszeniu. Wspominaliśmy w artykule, że firma zamieściła komunikat na swojej stronie. Ponadto Czytelnicy informowali nas, że ich bliscy otrzymywali pocztą pisma z powiadomieniem o wycieku.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

4 komentarzy

Dodaj komentarz
  1. To wszystko wina ElasticSearcha, MongoDB, Redisa i innych podobnych baz, że w ogóle działają bez autentykacji. Ale Developer Experience taki ważny…

    Spróbujcie postawić PostgreSQL z otwartym dostępem. Da się to manualnie skonfigurować, ale nie jest to oczywiste, i wszędzie są ostrzeżenia, dlaczego nie należy tego robić.

    • Ktoś mi mówił, że w wersji darmowej, do niedawna nie było żadnych opcji kontroli dostępu – chyba, że ktoś na firewallu sobie przyciął dostęp z konkretnych IP. I stąd te wycieki.
      Prawdę mówił, czy cienki bolek?

    • Z racji że administruje bazami PgSQL, robię sobie skrypty które mi liczą ilość połączeń botów i różnego dziadostwa na konkretne porty (iptables). I wiecie jakie są wyniki? Ciekawe…

      Odpytania na MsSQL (kilkaset w skali tygodnia)
      Odpytania na MsSQL (kilkadziesiąt tysięcy w skali tygodnia)
      Odpytania na PgSQL (kilka w skali tygodnia)

      Zatem szansa że jakiś automat przejedzie po PgSQL jest najmniejsza… Bo i baza mało popularna (na szczęście).

  2. @łoku: mhm, ES nie miał kontroli dosŧępu w wersji darmowej. Oczywiście każdy może położyć przed nim revproxy z httpauth i nawet pokusić się o kontrolę dostępu na tym rev. Sam tak robię. Ale do wan nie wystawiam nawet takich konstrukcji :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: