Największy wyciek danych osobowych klientów operatora komórkowego w historii

17 lipca, 2018

Operator sieci komórkowej, hiszpańska firma Telefonica, została ofiarą własnych błędów w zabezpieczeniach internetowego panelu klienta sub-operatora Movistar, którego jest właścicielem. Znaleziony i zgłoszony błąd przez jednego z nabywców usługi Movistar został zgłoszony hiszpańskiej organizacji non-profit specjalizującej się w ochronie danych osobowych i praw konsumenta (FACUA). Szkolny i prymitywny błąd spowodował wyciek danych osobowych i polegał na uzyskaniu dostępu do informacji rozliczeniowych klientów Movistar. Faktury zawierały pełne dane i miejsce zamieszkania, nazwę banku z którego dokonywano płatności oraz całą historię poprzednich płatności.

Mówiąc krótko, każdy kto posiadał konto w panelu internetowym na stronie Movistar, mógł przeglądać dane osobowe innych zarejestrowanych użytkowników, manipulując adresem URL, w którym zapisane były faktury w sposób niezaszyfrowany. Taki błąd mógł zostać wykorzystany do masowego zbierania danych osobowych. Nie wiadomo od jak dawna luka była obecna w systemie. FACUA nazwała ten incydent największą luką w zabezpieczeniach w historii telekomunikacji w Hiszpanii. Telefonica jest właścicielem także innych komercyjnych marek, O2 oraz Vivo — i także nie wiadomo, czy ich klienci są zagrożeni ujawnieniem danych osobowych. 

Telefonica powiadomiła klientów o problemie w niedzielę (15 lipca), a aktualizację internetowego panelu dodano w poniedziałek. Oprócz tego zgodnie z nowymi zasadami dotyczącymi GDPR / RODO, Telefonica może zostać obciążona grzywną w wysokości od 10 do 20 milionów euro lub grzywną w wysokości od 2% do 4% rocznego obrotu.

Nie w taki sam sposób, ale także w Polsce zdarzały się wycieki danych osobowych klientów bardzo dużych firm: operatorów Play, Areo2 oraz klientów banków. Wszystko to działo się jeszcze przed 25 maja 2018 roku, czyli dniem obowiązywania nowych dyrektyw o ochronie danych osobowych. Teraz wszystkie europejskie firmy są zobowiązane do natychmiastowego powiadomienia o incydencie nabywców usług nie później niż 72 godziny od wystąpienia wycieku danych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]