Únik dat u Odido: 6,2 milionu zákazníků odhaleno při kybernetickém útoku

Nizozemský telekomunikační gigant Odido čelí masové právní akci po rozsáhlém úniku dat

Hromadná žaloba podaná proti nizozemskému telekomunikačnímu poskytovateli Odido získala za prvních 24 hodin přes 200 000 podporovatelů, což z ní činí jeden z nejrychleji rostoucích právních nároků v nedávné evropské historii ochrany dat. Žaloba navazuje na kybernetický útok, který odhalil osobní údaje 6,2 milionu zákazníků Odido, včetně jmen, domácích adres a čísel bankovních účtů IBAN. Žalobci tvrdí, že Odido bylo nedbalé v tom, jak ukládalo a chránilo zákaznická data, a požadují finanční odškodnění za tento únik.

Pro srovnání: Nizozemsko má přibližně 17 milionů obyvatel. Únik dat týkající se 6,2 milionu osob znamená, že podstatná část obyvatel země mohla mít své citlivé osobní údaje kompromitovány při jediné události.

Jaká data byla odhalena a proč na tom záleží

Ne všechny úniky dat přinášejí stejné riziko. Kombinace informací odhalených při úniku u Odido je obzvláště znepokojivá, protože se dotýká údajů, které lze využít ke krádeži identity a finančním podvodům.

Jména a adresy samy o sobě představují relativně nízké riziko. Ale v kombinaci s čísly IBAN, která identifikují jednotlivé bankovní účty v celé Evropě, se odhalená data stávají nástrojem pro zločince. Čísla IBAN lze použít k zahájení neoprávněných inkasních příkazů v rámci platebního systému SEPA používaného v celé Evropské unii. Podvodníci s dostatečným množstvím osobních informací mohou také přesvědčivě vydávat za oběti při kontaktu s bankami, poskytovateli energií nebo vládními úřady.

Tento typ kombinovaného úniku dat se v kybernetickém podsvětí někdy nazývá dataset „fullz", odkazující na úplný profil obsahující dostatek informací k vydávání se za někoho jiného. Čím ucelenější obrázek, tím cennější je pro útočníky a tím škodlivější pro dotčené jednotlivce.

Úniky dat u ISP vs. protokolování ISP: dvě různé obavy

Únik dat u Odido ilustruje důležité rozlišení, které se v diskusích o ochraně soukromí často ztrácí. Když lidé přemýšlejí o rizicích spojených s jejich poskytovatelem internetových služeb, obvykle se soustředí na otázku, zda jejich ISP zaznamenává jejich aktivitu při prohlížení. To je legitimní obava, ale jedná se o jiný problém, než k čemu došlo zde.

V tomto případě nejde o to, co Odido mohlo sledovat z online chování zákazníků. Jde o administrativní a fakturační data, která společnost uchovávala jako základní požadavek pro poskytování telekomunikačních služeb. Každý zákazník, který se přihlásil k tarifu Odido, musel poskytnout osobní údaje a platební informace. Tato data byla uložena a nedostatečně chráněna.

Jedná se o riziko, které se vztahuje na každou společnost, se kterou obchodujete, nejen na vašeho ISP. Ale poskytovatelé internetových služeb jsou obzvláště hodnotným cílem, protože uchovávají data obrovského počtu lidí, často včetně platebních údajů a ověřených identifikačních informací, které musí být přesné pro účely fakturace a dodržování právních předpisů.

Ústřední tvrzení právní akce — že Odido bylo nedbalé ve svých bezpečnostních postupech — jde k jádru problému. Zákazníci neměli žádnou smysluplnou možnost auditovat, jak jsou jejich data ukládána nebo chráněna. Jednoduše museli společnosti důvěřovat, a zdá se, že tato důvěra byla špatně umístěna.

Co to znamená pro vás

Pokud jste zákazníkem Odido, měli byste sledovat svůj bankovní účet kvůli neoprávněným transakcím a zvážit upozornění vaší banky na tento únik, aby mohla označit podezřelou aktivitu. Vzhledem k tomu, že čísla IBAN byla odhalena, stojí za to zkontrolovat vaše inkasní oprávnění a zjistit, zda se mezi nimi nenachází nějaká, která neznáte.

V obecnějším kontextu je únik dat u Odido užitečnou připomínkou toho, že vaše vystavení únikům dat není omezeno pouze na vaše vlastní online chování. I když jste opatrní ohledně toho, co sdílíte a kde procházíte, společnosti, se kterými obchodujete, uchovávají o vás informace a přijímají vlastní bezpečnostní rozhodnutí bez vašeho vstupu.

Evropané mají díky Obecnému nařízení o ochraně osobních údajů (GDPR) silnější práva na ochranu dat než mnoho jiných regionů. Hromadná žaloba proti Odido je příkladem kolektivního uplatňování těchto práv. GDPR dává jednotlivcům právo požadovat náhradu škody způsobené porušením pravidel ochrany dat, a rychlé rozšíření tohoto nároku naznačuje, že mnoho dotčených zákazníků toto právo bere vážně.

Praktické kroky po každém úniku dat:

• Zkontrolujte, zda vaše data byla zahrnuta, pomocí služeb pro oznamování úniků
• Kontaktujte svou banku, pokud byly odhaleny podrobnosti o finančním účtu, jako jsou čísla IBAN
• Buďte ostražití vůči phishingovým e-mailům nebo hovorům, které používají vaše skutečné osobní údaje, aby působily legitimně
• Zkontrolujte svou kreditní zprávu na neznámé účty nebo dotazy
• Aktualizujte hesla na účtech, které sdílejí stejnou e-mailovou adresu nebo telefonní číslo jako kompromitovaná služba

Rozsah úniku dat u Odido a rychlost právní reakce vysílají jasný signál telekomunikačním poskytovatelům po celé Evropě: nedostatečné zabezpečení dat s sebou nese reálné právní a finanční důsledky. Pro zákazníky je tato epizoda připomínkou, že ochrana vašich osobních údajů vyžaduje nejen dobré osobní návyky, ale také vyvozování odpovědnosti vůči organizacím, které vaše data uchovávají, když nesplní svou povinnost.