Jedynie 20.000 Euro kary za wyciek danych osobowych 2 MLN rekordów? Wyjaśniamy dlaczego.

Biuro DLS

Niemiecki serwis randkowy (knuddels.de) został ukarany grzywną 20 tyś. EURO za wyciek danych ponad 2 MLN osób. Do wycieku doszło we wrześniu tego roku. Po upływie kilku miesięcy właściwy organ nadzoru Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Badenii-Wirtembergii)  – nałożył na firmę karę w wysokości 20.000 EURO.

Mimo obowiązywania RODO od 25 maja 2018 roku, nadal wiele firm nie uporało się z odpowiednim zabezpieczeniem danych. Wyciek niezanimizowanych danych, brak szyfrowania haseł – wszystko to może mieć katastrofalne skutki. Choć rozporządzenie nie wskazuje jednoznacznie, jakie środki powinny być wdrożone przez podmioty przetwarzające dane osobowe, tak precyzyjnie określa wysokość maksymalnych kar dla podmiotów, które nie zapewnią odpowiedniego poziomu ochrony danych.

20.000 Euro kary za wyciek prawie 2 milionów haseł

Patrząc na wymiary kar, jakie zakłada RODO (do 20 MLN EUR) niemiecki serwis randkowy otrzymał stosunkowo niską karę. Należy zauważyć, że wyciekło około 2 miliony loginów i haseł oraz ponad 800 tysięcy adresów e-mail. Warto jednak zwrócić uwagę na argumentację przyjętą przez organ.

Dlaczego niemiecki serwis otrzymał tak niski wymiar kary?

Analizując ilość utraconych danych oraz maksymalne kary, jakie przewiduje RODO, można mieć wątpliwości, z czego wynika kwota 20.000 Euro. Należy jednak przeanalizować okoliczności, jakie wziął pod uwagę organ nakładając grzywnę. Niemiecki serwis randkowy natychmiast i w sposób przejrzysty zgłosił wyciek, a także wdrożył prace mające na celu poprawę bezpieczeństwa danych. Z informacji udzielonych przez pracowników[1] obsługa incydentu wyglądała następująco:

środa, 5 września

21:06

Nieznany sprawca opublikował 8000 danych na Pastebin.com. Wpis składa się z pseudonimów, hasła, adresu e-mail (w 57% przypadków), imienia (w 41% przypadków) i miejsca zamieszkania (w 30% przypadków).

Oficer ds. Bezpieczeństwa IT, który jest byłym członkiem Knuddels, zauważa wpis i kontaktuje się z Knuddels.com przez e-mail.

Czwartek, 6 września

10.40

Wiadomość e-mail jest odczytywana przez zespół pomocy Knuddels.de, a informacje są natychmiast przekazywane dalej w firmie.

13:45

W tym czasie sprawdzane jest autentyczność wiadomości oraz pierwsze bezpośrednie środki w celu ochrony 8.000 użytkowników. Ponadto podjęto również środki awaryjne dla wszystkich użytkowników:

  • Usunięcie danych na Pastebin.com
  • Tymczasowa dezaktywacja wszystkich znanych, dotkniętych problemem danych dostępowych
  • Usunięcie niezaszyfrowanych haseł we wszystkich rekordach
  • Opracowanie komponentu, który prowadzi wszystkich członków po zalogowaniu się na stronie w celu odświeżenia hasła
  • Sprawdzenie serwera pod kątem możliwych wektorów ataku
  • Powiadomienie inspektora ochrony danych firmy Knuddels.de

Piątek, 7 września

1.30 rano

Zakończenie działań z 6 września.

14.00

Serwer Knuddels.at jest aktualizowany. Wraz z aktualizacją Knuddels.de zaczną obowiązywać wszystkie zabezpieczenia. Jednocześnie wszyscy członkowie publicznego forum, a także Facebook i Instagram są informowani o działaniach i wycieku danych.

14:24

Knuddels.de otrzymuje od członka społeczności link do forum „nulled.to”, w którym oprócz znanego wycieku Pastebin.com został powiązany inny link do Pastebina z 8 000 innych rekordów. Ponadto artykuł zawiera link do „mega.nz”, pod którym opublikowano 1 872 000 pseudonimów.

W związku ze zmienioną sytuacją podejmowane są dalszych działania:

  • Poinformowanie wszystkich członków tak szybko, jak to możliwe, przez e-mail
  • Wszyscy członkowie muszą ustawić nowe hasło podczas logowania
  • Członkowie, którzy nie logują się za pomocą znanego nam urządzenia, otrzymają link przez e-mail lub SMS, aby ustawić nowe hasło
  • Pliki dzienników, które mogą zawierać dane członków, są szyfrowane

16:56

Knuddels.de informuje swoich członków na forum oraz Facebooku i Instagramie.

Przed 22:00

Kolejne środki są wdrażane na Knuddels.at

Około 22:45

Wdrażanie nowych środków bezpieczeństwa na Knuddels.de. Jednocześnie rozpoczynają się wiadomości e-mail informujące o wycieku danych, w których prosi się członków o zmianę danych na wszystkich platformach korzystających z tych samych lub podobnych informacji o koncie.

Czas od otrzymiania wiadomości do zamknięcia incydentu: 49 godzin i 45 minut.

Po Incydencie

Poinformowany urząd nadzoru w zakresie ochrony danych nakłada grzywnę, ale składa hołd w szczególności na fakt, że Knuddels.de wzorcowo przeprowadził procedurę reakcji na incydent zarówno pod względem kompleksowych informacji i przejrzystości, jak i pod względem wdrożenia środków technicznych służących poprawie bezpieczeństwa danych.

Czy kara 20.000 Euro jest adekwatna do rozmiaru wycieku danych (ok. 10 groszy za rekord)? Nie da się zaprzeczyć, że niemiecki organ nakładając karę słusznie wziął pod uwagę działania, jakie zostały podjęte przez firmę, aby zapobiec dalszej utracie danych. Niemniej jednak trudno jest dopatrzeć proporcjonalności pomiędzy karą a samym rozmiarem wycieku danych. Jednak ten wyciek pokazuje nam, że tylko sprawne i przejrzyste działania mogą znacznie obniżać ryzyko kary.

Więcej informacji można uzyskać:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245

https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/

 

[1] https://forum.knuddels.de/ubbthreads.php?ubb=showflat&Number=2916245#Post2916245