Największy wyciek danych osobowych klientów operatora komórkowego w historii

Operator sieci komórkowej, hiszpańska firma Telefonica, została ofiarą własnych błędów w zabezpieczeniach internetowego panelu klienta sub-operatora Movistar, którego jest właścicielem. Znaleziony i zgłoszony błąd przez jednego z nabywców usługi Movistar został zgłoszony hiszpańskiej organizacji non-profit specjalizującej się w ochronie danych osobowych i praw konsumenta (FACUA). Szkolny i prymitywny błąd spowodował wyciek danych osobowych i polegał na uzyskaniu dostępu do informacji rozliczeniowych klientów Movistar. Faktury zawierały pełne dane i miejsce zamieszkania, nazwę banku z którego dokonywano płatności oraz całą historię poprzednich płatności.

Mówiąc krótko, każdy kto posiadał konto w panelu internetowym na stronie Movistar, mógł przeglądać dane osobowe innych zarejestrowanych użytkowników, manipulując adresem URL, w którym zapisane były faktury w sposób niezaszyfrowany. Taki błąd mógł zostać wykorzystany do masowego zbierania danych osobowych. Nie wiadomo od jak dawna luka była obecna w systemie. FACUA nazwała ten incydent największą luką w zabezpieczeniach w historii telekomunikacji w Hiszpanii. Telefonica jest właścicielem także innych komercyjnych marek, O2 oraz Vivo — i także nie wiadomo, czy ich klienci są zagrożeni ujawnieniem danych osobowych. 

Telefonica powiadomiła klientów o problemie w niedzielę (15 lipca), a aktualizację internetowego panelu dodano w poniedziałek. Oprócz tego zgodnie z nowymi zasadami dotyczącymi GDPR / RODO, Telefonica może zostać obciążona grzywną w wysokości od 10 do 20 milionów euro lub grzywną w wysokości od 2% do 4% rocznego obrotu.

Nie w taki sam sposób, ale także w Polsce zdarzały się wycieki danych osobowych klientów bardzo dużych firm: operatorów Play, Areo2 oraz klientów banków. Wszystko to działo się jeszcze przed 25 maja 2018 roku, czyli dniem obowiązywania nowych dyrektyw o ochronie danych osobowych. Teraz wszystkie europejskie firmy są zobowiązane do natychmiastowego powiadomienia o incydencie nabywców usług nie później niż 72 godziny od wystąpienia wycieku danych.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej