Operator sieci komórkowej, hiszpańska firma Telefonica, została ofiarą własnych błędów w zabezpieczeniach internetowego panelu klienta sub-operatora Movistar, którego jest właścicielem. Znaleziony i zgłoszony błąd przez jednego z nabywców usługi Movistar został zgłoszony hiszpańskiej organizacji non-profit specjalizującej się w ochronie danych osobowych i praw konsumenta (FACUA). Szkolny i prymitywny błąd spowodował wyciek danych osobowych i polegał na uzyskaniu dostępu do informacji rozliczeniowych klientów Movistar. Faktury zawierały pełne dane i miejsce zamieszkania, nazwę banku z którego dokonywano płatności oraz całą historię poprzednich płatności.
Mówiąc krótko, każdy kto posiadał konto w panelu internetowym na stronie Movistar, mógł przeglądać dane osobowe innych zarejestrowanych użytkowników, manipulując adresem URL, w którym zapisane były faktury w sposób niezaszyfrowany. Taki błąd mógł zostać wykorzystany do masowego zbierania danych osobowych. Nie wiadomo od jak dawna luka była obecna w systemie. FACUA nazwała ten incydent największą luką w zabezpieczeniach w historii telekomunikacji w Hiszpanii. Telefonica jest właścicielem także innych komercyjnych marek, O2 oraz Vivo — i także nie wiadomo, czy ich klienci są zagrożeni ujawnieniem danych osobowych.
Telefonica powiadomiła klientów o problemie w niedzielę (15 lipca), a aktualizację internetowego panelu dodano w poniedziałek. Oprócz tego zgodnie z nowymi zasadami dotyczącymi GDPR / RODO, Telefonica może zostać obciążona grzywną w wysokości od 10 do 20 milionów euro lub grzywną w wysokości od 2% do 4% rocznego obrotu.
Nie w taki sam sposób, ale także w Polsce zdarzały się wycieki danych osobowych klientów bardzo dużych firm: operatorów Play, Areo2 oraz klientów banków. Wszystko to działo się jeszcze przed 25 maja 2018 roku, czyli dniem obowiązywania nowych dyrektyw o ochronie danych osobowych. Teraz wszystkie europejskie firmy są zobowiązane do natychmiastowego powiadomienia o incydencie nabywców usług nie później niż 72 godziny od wystąpienia wycieku danych.
