Upublicznienie danych przez indeksację

Prywatne dane dotyczące ponad 50 000 listów wysłanych przez banki i władze lokalne zostały zindeksowane przez Google po tym, jak firma outsourcingowa z siedzibą w Londynie wadliwie skonfigurowała swój system komputerowy. Szczegóły dotyczące wszystkiego, od niewypłacalności po ostatnie przypomnienia o niezapłaconym podatku komunalnym i wakacjach hipotecznych, były dostępne dla każdego od czerwca 2020 roku.

Tysiące nazwisk i adresów - oraz rodzajów listów, jakie zostały wysłane - zostało ujawnionych. Aferą dotknięci są ludzie w Wielkiej Brytanii, Stanach Zjednoczonych i Kanadzie. Virtual Mail Room, firma odpowiedzialna za incydent, pracowała dla takich klientów, jak Metro Bank, 14 samorządów lokalnych, wydawnictwo Pearson czy firma windykacyjna Begbies Traynor. Konkretna treść listów wysyłanych do osób prywatnych nie była na szczęście widoczna.

Konsekwencje prawne także dla zleceniodawców

Naruszenie prywatności budzi wątpliwości co do tego czy firmy i władze lokalne korzystające z outsourcingu usług pocztowych do obsługi wrażliwych danych klientów dołożyły należytej staranności przeprowadzanej przez firmy i władze lokalne. Miało ono miejsce także w szczególnie trudnym czasie, kiedy wiele nazwisk i adresów zawartych w naruszeniu należy do osób, które poważnie ucierpiały finansowo w wyniku pandemii a więc z przyczyn zasadniczo od siebie niezależnych. Takie pomyłki mogą stanowić naruszenie RODO, a administratorom danych i podmiotom przetwarzającym mogą grozić grzywny w wysokości dziesiątek milionów funtów. Naruszenie dotyczyło również klientów Aldermore z adresami w Belgii, Polsce, Niemczech, Włoszech, Zjednoczonych Emiratach Arabskich, Szwecji i Irlandii.

Rzecznik prasowy Urzędu Komisarza ds. Informacji, brytyjskiego organu regulacyjnego ds. danych osobowych (a więc odpowiednika polskiego Prezesa Urzędu Ochrony Danych Osobowych) potwierdził, że jest świadomy incydentu i prowadzi już własne dochodzenie w sprawie.

Nie korzystają już z Virtual Mail Room

Szczegóły ujawnione w wyniku naruszenia są niezwykle osobiste. Wśród ujawnionych danych osobowych znalazły się nazwiska i adresy 6500 klientów Aldermore Bank. Ujawniono, którzy klienci otrzymali wezwania do zapłaty czy inne środki ochrony prawnej. Rzecznik banku twierdzi, że bada tę sprawę. Ponadto przynajmniej 250 klientów Metro Bank zostało zidentyfikowanych za pomocą nazwy i adresu firmy. Baza danych listów wysłanych przez władze lokalne zawiera nazwiska i adresy 2300 osób mieszkających w Croydon. Widoczne były również nazwiska, adresy e-mail i numery telefonów pracowników z dostępem do systemów Virtual Mail Room.

Rzecznik Metro Bank twierdzi, że firma tymczasowo zawiesiła udostępnianie danych w Virtual Mail Room jako środek zapobiegawczy na czas dochodzenia.

Na swojej stronie internetowej Virtual Mail Room nadal stwierdza, że oferuje klientom prosty, ale bezpieczny interfejs webowy, który umożliwia firmom przesyłanie dokumentów, list kontaktów i innych informacji oraz śledzenie postępu wysyłek i generowanie raportów. Ale to, co zostało zaprojektowane jako szybki sposób dla firm na kontaktowanie się z klientami, stało się poważnym problemem związanym z prywatnością danych.

To nie my, to hakerzy

Mickel Bak, dyrektor Virtual Mail Room, mówi, że firma była celem ataku, który doprowadził do umieszczenia danych w Internecie.

Jesteśmy bardzo zaniepokojeni, że byliśmy celem ataku mającego na celu uzyskanie dostępu do posiadanych przez nas informacji. Podjęliśmy i podejmujemy niezbędne kroki, aby pomóc naszym klientom i odpowiednim władzom w tym przypadku.

Jednak Robin Wood, niezależny konsultant bezpieczeństwa, mówi, że naruszenie wydaje się być do wykrycia gdyby system został uprzednio odpowiednio przetestowany. Według Wooda Jest to również coś, co mogłoby zostać wykryte przez zespoły ds. marketingu lub SEO, które monitorują Google, aby sprawdzić, co jest indeksowane.