Porušení údajů

Únik dat u Odido: Odhaleno 6,2 milionu záznamů

20. dubna 20265 min čtení

By James Okafor — CIPP/E certified, digital rights and privacy law specialist

Únik dat u Odido: Odhaleno 6,2 milionu záznamů

Proti nizozemskému telekomunikačnímu poskytovateli Odido byla podána hromadná právní žaloba poté, co únik dat odhalil osobní údaje 6,2 milionu lidí. Odcizené záznamy zahrnují čísla bankovních účtů (IBAN), domácí adresy a čísla dokladů totožnosti – vše bylo údajně zveřejněno na dark webu poté, co Odido odmítlo zaplatit výkupné. Případ vznáší závažné otázky o tom, jak dlouho společnosti vaše data uchovávají a co se stane, když se tato data dostanou do nesprávných rukou.

Jaká data byla odcizena a proč na tom záleží

Není každý únik dat stejně rizikový. Uniklá e-mailová adresa je nepříjemná. Uniklá čísla IBAN, fyzické adresy a čísla dokladů vydaných státem jsou však zcela jiná záležitost.

S touto kombinací informací mohou zločinci pokusit se o bankovní podvod, otevřít úvěrové linky na cizí jméno, dopustit se krádeže identity nebo cílit na jednotlivce fyzickými podvody a obtěžováním. Skutečnost, že tato data byla otevřeně zveřejněna na dark webu, problém ještě prohlubuje: nejsou již v rukou jediného útočníka, ale potenciálně přístupná komukoli, kdo je ochoten hledat.

Pro 6,2 milionu postižených osob riziko nezaniká. Jakmile citlivá data kolují na kriminálních tržištích, lze je zneužít týdny, měsíce nebo dokonce roky po původním úniku.

Obvinění z nedbalosti v jádru žaloby

Sdružení skupin ochrany soukromí stojící za touto žalobou netvrdí pouze to, že Odido mělo smůlu. Žaloba tvrdí, že společnost se dopustila nedbalosti ve dvou ohledech: uchovávala nadměrné množství osobních údajů déle, než bylo nutné, a ignorovala předchozí bezpečnostní varování.

Tato obvinění jsou závažná, protože poukazují na systémové selhání, nikoli na jednorázový incident. Podle Obecného nařízení o ochraně osobních údajů (GDPR) jsou společnosti působící v Evropské unii ze zákona povinny dodržovat zásadu minimalizace dat. To znamená shromažďovat pouze to, co je nezbytné, uchovávat data pouze po dobu, po kterou je to nutné, a po vypršení účelu je smazat.

Pokud se obvinění potvrdí, Odido možná uchovávalo data, k jejichž uchování nemělo žádný oprávněný důvod. To není jen otázka souladu s předpisy. Přímo to zvyšuje potenciální škody způsobené jakýmkoli únikem. Čím více dat společnost hromadí, tím větším terčem se stává a tím větší škody vznikají, když selže zabezpečení.

Co to znamená pro vás

I když nejste zákazníkem Odido, tento případ je užitečnou připomínkou toho, jak malou kontrolu má většina lidí nad svými osobními údaji poté, co je předá poskytovateli služeb.

Existují praktické kroky, které můžete podniknout ke snížení své expozice:

Zjistěte, zda byly vaše data kompromitována. Služby, které shromažďují data o známých únicích, vám umožňují vyhledat vaši e-mailovou adresu a zjistit, zda se vaše přihlašovací údaje objevily ve veřejně známých únicích. Pokud byly vaše informace součástí úniku u Odido, pečlivě sledujte své bankovní účty a zvažte nastavení upozornění na podvod u své banky.

Buďte vybíraví v tom, co sdílíte. Při registraci ke službám si ověřte, zda je každé pole skutečně povinné. Mnoho společností při registraci požaduje více dat, než potřebuje. Poskytnutí minima identifikačních údajů snižuje škody, pokud je tato společnost později zasažena únikem.

Seznamte se se svými právy podle GDPR. Pokud žijete v EU nebo jste využívali služby společností se sídlem v EU, máte právo požádat o přístup ke svým datům, žádat o opravy a v některých případech požádat o jejich výmaz. Tato práva existují právě pro situace, jako je tato.

Používejte VPN ve veřejných a nedůvěryhodných sítích. VPN nezabrání úniku dat ze společnosti, ale chrání data, která přenášíte. Na veřejné Wi-Fi mohou být nešifrovaná připojení zachycena, což je další způsob, jak se osobní data dostanou na veřejnost. Šifrování provozu přidává vrstvu ochrany pro data, která aktivně sdílíte.

Používejte silná, jedinečná hesla a povolte dvoufaktorové ověřování. Když uniklá data zahrnují e-mailové adresy a hesla, útočníci se tato přihlašovací údaje často pokoušejí použít napříč více službami. Jedinečná hesla a dvoufaktorové ověřování tento řetězec přeruší.

Širší kontext: Společnosti musí být brány k odpovědnosti

Případ Odido je součástí širšího vzorce. Telekomunikační poskytovatelé a velké společnosti poskytující služby uchovávají obrovské množství citlivých osobních dat a jejich bezpečnostní postupy ne vždy odpovídají rozsahu toho, co chrání.

Hromadné právní žaloby, jako je tato, jsou jedním z mechanismů pro vynucení odpovědnosti. Když je s nedbalým nakládáním s daty spojena finanční odpovědnost, mají společnosti silnější motivaci investovat do bezpečnosti, snižovat zbytečné uchovávání dat a reagovat na varování ještě před únikem, nikoli až po něm.

Pro spotřebitele je závěr jasný: nemůžete plně kontrolovat, co společnosti s vašimi daty dělají, ale můžete omezit, co sdílíte, znát svá práva a podniknout kroky k vlastní ochraně, když tyto společnosti selhají. Být informován o únicích, které se vás týkají, není paranoia. Je to rozumná reakce na realitu toho, jak se s osobními daty nakládá ve velkém měřítku.

// FAQ

Kolik lidí bylo zasaženo únikem dat u Odido?

Únik dat u Odido odhalil osobní údaje 6,2 milionu lidí. Jejich záznamy byly zveřejněny na dark webu poté, co Odido odmítlo zaplatit výkupné.

Jaký typ osobních dat byl při úniku odcizen?

Odcizené záznamy zahrnovaly čísla bankovních účtů (IBAN), domácí adresy a čísla dokladů totožnosti. Tato kombinace dat může být využita k bankovním podvodům, krádeži identity a dalším kriminálním aktivitám.

Proč je proti Odido podávána žaloba?

Sdružení skupin ochrany soukromí podalo hromadnou právní žalobu s tvrzením, že Odido se dopustilo nedbalosti dvěma způsoby: uchovávalo nadměrné množství osobních údajů déle, než bylo nutné, a ignorovalo předchozí bezpečnostní varování. Tato obvinění naznačují systémové selhání, nikoli jednorázový incident.

Jaký zákon mělo Odido údajně porušit?

Žaloba odkazuje na Obecné nařízení o ochraně osobních údajů (GDPR), které vyžaduje, aby společnosti v Evropské unii dodržovaly zásadu minimalizace dat. To znamená shromažďovat pouze nezbytná data, uchovávat je pouze po dobu, po kterou je to nutné, a smazat je po vypršení jejich účelu.

Jak dlouho trvá riziko z tohoto úniku pro postižené osoby?

Riziko nezaniká, jakmile citlivá data kolují na kriminálních tržištích, protože mohou být zneužita týdny, měsíce nebo dokonce roky po původním úniku. Skutečnost, že data byla otevřeně zveřejněna na dark webu, znamená, že jsou potenciálně přístupná komukoli, kdo je ochoten hledat.

Únik dat u Odido: Odhaleno 6,2 milionu záznamů

Jaká data byla odcizena a proč na tom záleží

Obvinění z nedbalosti v jádru žaloby

Co to znamená pro vás

Širší kontext: Společnosti musí být brány k odpovědnosti

// FAQ

// Související