Tietomurrot

Odidon tietomurto: 6,2 miljoonaa tietuetta paljastui

20. huhtikuuta 20265 min lukuaika

By James Okafor — CIPP/E certified, digital rights and privacy law specialist

Odidon tietomurto: 6,2 miljoonaa tietuetta paljastui

Hollantilaista teleoperaattori Odidoa vastaan on nostettu joukkokanne sen jälkeen, kun tietomurto paljasti 6,2 miljoonan ihmisen henkilötiedot. Varastettuihin tietueisiin sisältyvät pankkitilinumerot (IBAN-numerot), kotiosoitteet ja henkilöllisyysasiakirjojen numerot, jotka kaikki julkaistiin tiettävästi pimeässä verkossa sen jälkeen, kun Odido kieltäytyi maksamasta lunnaita. Tapaus herättää vakavia kysymyksiä siitä, kuinka kauan yritykset säilyttävät tietojasi ja mitä tapahtuu, kun nämä tiedot joutuvat vääriin käsiin.

Mitä tietoja varastettiin ja miksi sillä on merkitystä

Kaikki tietomurrot eivät ole yhtä vaarallisia. Vuotanut sähköpostiosoite on hankala asia. Vuotaneet IBAN-numerot, fyysiset osoitteet ja viranomaisten myöntämien henkilöllisyysasiakirjojen numerot ovat aivan eri asia.

Tällä tietoyhdistelmällä rikolliset voivat yrittää pankkipetoksia, avata luottolimiittejä toisen henkilön nimissä, syyllistyä identiteettivarkauteen tai kohdistaa yksilöihin fyysisiä huijauksia ja häirintää. Se, että nämä tiedot julkaistiin avoimesti pimeässä verkossa, pahentaa tilannetta entisestään: ne eivät ole enää vain yhden hyökkääjän hallussa, vaan potentiaalisesti kenen tahansa saatavilla, joka on valmis etsimään niitä.

6,2 miljoonalle henkilölle, joita asia koskee, riski ei vanhene. Kun arkaluonteiset tiedot kiertävät rikollisissa markkinapaikoissa, niitä voidaan hyödyntää viikkoja, kuukausia tai jopa vuosia alkuperäisen tietomurron jälkeen.

Huolimattomuusväitteet kanteen ytimessä

Kanteen takana oleva tietosuojaryhmien yhteenliittymä ei ainoastaan väitä, että Odidolla oli huono tuuri. Kanteessa väitetään, että yritys oli huolimaton kahdessa suhteessa: se säilytti liiallisia henkilötietoja tarpeettoman pitkään ja jätti aiemmat tietoturvavaroitukset huomiotta.

Nämä ovat merkittäviä väitteitä, koska ne viittaavat järjestelmälliseen epäonnistumiseen eikä yksittäiseen tapaukseen. Yleisen tietosuoja-asetuksen (GDPR) mukaan Euroopan unionissa toimivat yritykset ovat lain mukaan velvollisia noudattamaan tietojen minimoinnin periaatetta. Tämä tarkoittaa, että tietoja kerätään vain tarpeellinen määrä, niitä säilytetään vain niin kauan kuin on tarpeen ja ne poistetaan, kun niiden käyttötarkoitus on täyttynyt.

Jos väitteet pitävät paikkansa, Odido on saattanut säilyttää tietoja, joille sillä ei ollut laillista perustetta. Tämä ei ole pelkästään vaatimustenmukaisuuskysymys. Se lisää suoraan mahdollisen tietomurron aiheuttamia vahinkoja. Mitä enemmän dataa yritys hamstraa, sitä suurempi maalitaulu siitä tulee ja sitä suurempi on haitta, kun tietoturva pettää.

Mitä tämä tarkoittaa sinulle

Vaikka et olisikaan Odidon asiakas, tämä tapaus on hyödyllinen muistutus siitä, kuinka vähän vaikutusvaltaa useimmilla ihmisillä on henkilötietojensa suhteen sen jälkeen, kun ne on luovutettu palveluntarjoajalle.

Voit vähentää altistumistasi ryhtymällä käytännön toimiin:

Tarkista, ovatko tietosi vaarantuneet. Tunnettujen tietomurtojen tietoja kokoavat palvelut antavat sinun etsiä sähköpostiosoitteesi ja selvittää, ovatko tunnuksesi esiintyneet julkisesti tiedetyissä vuodoissa. Jos tietosi olivat osa Odidon tietomurtoa, seuraa pankkitiliesi tilannetta tarkasti ja harkitse petosvaroituksen asettamista pankkisi kanssa.

Ole valikoiva sen suhteen, mitä jaat. Kun rekisteröidyt palveluihin, kyseenalaista, onko jokainen kenttä todella pakollinen. Monet yritykset pyytävät käyttöönoton yhteydessä enemmän tietoja kuin tarvitsevat. Tunnistetietojen antaminen mahdollisimman vähän pienentää vahinkoa, jos kyseinen yritys myöhemmin joutuu tietomurron kohteeksi.

Ymmärrä oikeutesi GDPR:n nojalla. Jos olet EU:ssa tai käyttänyt EU-pohjaisten yritysten tarjoamia palveluita, sinulla on oikeus pyytää pääsy tietoihisi, pyytää korjauksia ja tietyissä tapauksissa pyytää tietojen poistamista. Nämä oikeudet on luotu juuri tämänkaltaisia tilanteita varten.

Käytä VPN:ää julkisissa ja epäluotettavissa verkoissa. VPN ei estä yritystä joutumasta tietomurron kohteeksi, mutta se suojaa lähettämiäsi tietoja. Julkisessa Wi-Fi-verkossa salaamattomat yhteydet voidaan kaapata, mikä on yksi tapa, jolla henkilötiedot päätyvät paljastuneiksi. Liikenteen salaaminen lisää suojakerroksen aktiivisesti jakamillesi tiedoille.

Käytä vahvoja, yksilöllisiä salasanoja ja ota käyttöön kaksivaiheinen tunnistautuminen. Kun murretut tiedot sisältävät sähköpostiosoitteita ja salasanoja, hyökkääjät yrittävät usein käyttää näitä tunnuksia useissa eri palveluissa. Yksilölliset salasanat ja kaksivaiheinen tunnistautuminen katkaisevat tämän ketjun.

Laajempi kuva: Yritykset on saatava vastuuseen

Odidon tapaus on osa laajempaa kaavaa. Teleoperaattoreilla ja suurilla palveluyrityksillä on hallussaan valtavia määriä arkaluonteisia henkilötietoja, eivätkä niiden tietoturvakäytännöt aina vastaa suojaamansa tiedon laajuutta.

Tämänkaltaiset joukkokanteet ovat yksi keino pakottaa yritykset vastuuseen. Kun huolimattomaan tietojen käsittelyyn liittyy taloudellinen vastuu, yrityksillä on vahvempi kannustin investoida tietoturvaan, vähentää tarpeetonta tietojen säilyttämistä ja reagoida varoituksiin ennen tietomurtoa eikä sen jälkeen.

Kuluttajille viesti on selkeä: et voi täysin hallita sitä, mitä yritykset tekevät tiedoillasi, mutta voit rajoittaa sitä, mitä jaat, tuntea oikeutesi ja ryhtyä toimiin suojautuaksesi, kun nämä yritykset epäonnistuvat. Itseään koskevista tietomurroista perillä pysyminen ei ole paranoidista. Se on järkevä reaktio todellisuuteen siitä, miten henkilötietoja käsitellään laajassa mittakaavassa.

// UKK

Kuinka monta ihmistä Odidon tietomurto koski?

Odidon tietomurto paljasti 6,2 miljoonan ihmisen henkilötiedot. Heidän tietueensa julkaistiin pimeässä verkossa sen jälkeen, kun Odido kieltäytyi maksamasta lunnaita.

Millaisia henkilötietoja murron yhteydessä varastettiin?

Varastettuihin tietueisiin sisältyi pankkitilinumeroita (IBAN-numeroita), kotiosoitteita ja henkilöllisyysasiakirjojen numeroita. Tätä tietoyhdistelmää voidaan käyttää pankkipetosten, identiteettivarkauden ja muiden rikollisten toimintojen toteuttamiseen.

Miksi Odidoa vastaan nostetaan kanne?

Tietosuojaryhmien yhteenliittymä nosti joukkokannteen väittäen, että Odido oli huolimaton kahdella tavalla: se säilytti liiallisia henkilötietoja tarpeettoman pitkään ja jätti aiemmat tietoturvavaroitukset huomiotta. Nämä väitteet viittaavat järjestelmälliseen epäonnistumiseen eikä yksittäiseen tapaukseen.

Mitä lakia Odidon väitetään rikkoneen?

Kanteessa viitataan yleiseen tietosuoja-asetukseen (GDPR), joka velvoittaa Euroopan unionissa toimivia yrityksiä noudattamaan tietojen minimoinnin periaatetta. Tämä tarkoittaa, että kerätään vain tarpeellisia tietoja, säilytetään niitä vain tarvittavan ajan ja poistetaan ne, kun niiden käyttötarkoitus on täyttynyt.

Kuinka kauan tietomurron riski jatkuu niille, joita se koskee?

Riski ei vanhene, kun arkaluonteiset tiedot kiertävät rikollisissa markkinapaikoissa, sillä niitä voidaan hyödyntää viikkoja, kuukausia tai jopa vuosia alkuperäisen tietomurron jälkeen. Koska tiedot julkaistiin avoimesti pimeässä verkossa, ne ovat potentiaalisesti kenen tahansa saatavilla, joka on valmis etsimään niitä.

Odidon tietomurto: 6,2 miljoonaa tietuetta paljastui

Mitä tietoja varastettiin ja miksi sillä on merkitystä

Huolimattomuusväitteet kanteen ytimessä

Mitä tämä tarkoittaa sinulle

Laajempi kuva: Yritykset on saatava vastuuseen

// UKK

// Aiheeseen liittyvät