Koliko je korisnika pogođeno povredom podataka Odida?

Kibernapad je izložio osobne podatke 6,2 milijuna korisnika Odida, što predstavlja znatan dio ukupne populacije Nizozemske od otprilike 17 milijuna ljudi.

Koja vrsta osobnih informacija je bila izložena u povredi?

Izloženi podaci uključivali su imena korisnika, kućne adrese i IBAN brojeve bankovnih računa — kombinaciju koja se može koristiti za krađu identiteta, financijske prijevare i neovlaštena izravna terećenja.

Zašto se kombinacija podataka izloženih u povredi Odida smatra posebno opasnom?

Kibernetički kriminalci nazivaju potpune osobne profile „fullz" skupovima podataka; kombinacija imena, adresa i IBAN brojeva može omogućiti neovlaštena bankovnih terećenja i dopustiti prevarantima da uvjerljivo lažno predstavljaju žrtve bankama ili vladinim agencijama.

Koja je razlika između ISP bilježenja podataka i onoga što se dogodilo u povredi Odida?

Bilježenje podataka odnosi se na ono što ISP može promatrati o mrežnom ponašanju korisnika, dok je povreda Odida uključivala administrativne podatke i podatke za naplatu — poput osobnih detalja i podataka o plaćanju — koje je tvrtka pohranjivala kao dio pružanja svoje usluge.

Povreda podataka Odida: 6,2 milijuna korisnika izloženo u kibernapadu

Q: Koliko je velika kolektivna tužba protiv Odida?

Kolektivna tužba privukla je više od 200.000 podupiratelja unutar prvih 24 sata, čineći je jednim od najbrže rastućih pravnih zahtjeva u nedavnoj europskoj povijesti zaštite podataka.

Nizozemski telekomunikacijski div Odido suočava se s masovnom pravnom akcijom nakon masovne povrede podataka

Kolektivna tužba podnesena protiv nizozemskog telekomunikacijskog pružatelja usluga Odido privukla je više od 200.000 podupiratelja u prvih 24 sata, čineći je jednim od najbrže rastućih pravnih zahtjeva u nedavnoj europskoj povijesti zaštite podataka. Tužba slijedi nakon kibernapada koji je izložio osobne podatke 6,2 milijuna korisnika Odida, uključujući imena, kućne adrese i IBAN brojeve bankovnih računa. Tužitelji tvrde da je Odido bio nemaran u načinu na koji je pohranjivao i osiguravao korisničke podatke, te traže financijsku odštetu za povredu.

Radi konteksta, Nizozemska ima populaciju od otprilike 17 milijuna ljudi. Povreda koja pogađa 6,2 milijuna pojedinaca znači da je znatan dio stanovnika zemlje mogao imati svoje osjetljive osobne podatke kompromitirane u jednom incidentu.

Koji su podaci bili izloženi i zašto je to važno

Nisu sve povrede podataka jednako rizične. Kombinacija informacija izloženih u povredi Odida posebno je zabrinjavajuća jer se tiče pojedinosti koje se mogu koristiti za krađu identiteta i financijske prijevare.

Imena i adrese same po sebi relativno su niskorizični podaci. No u kombinaciji s IBAN brojevima, koji identificiraju pojedinačne bankovne račune širom Europe, izloženi podaci postaju alat za kriminalce. IBAN brojevi mogu se koristiti za pokretanje neovlaštenih izravnih terećenja u sklopu SEPA platnog sustava koji se koristi diljem Europske unije. Prevaranti s dovoljno osobnih informacija mogu uvjerljivo lažno predstavljati žrtve prilikom kontaktiranja banaka, komunalnih poduzeća ili vladinih agencija.

Ova vrsta kombinirane izloženosti podataka ponekad se u kibernetičkim kriminalnim krugovima naziva „fullz" skupom podataka, što se odnosi na potpuni profil koji sadržava dovoljno informacija za lažno predstavljanje nekoga. Što je slika potpunija, to je vrjednija za zlonamjerne aktere i štetnija za uključene pojedince.

Povrede ISP-a nasuprot ISP bilježenja: dvije odvojene brige

Povreda Odida ilustrira važnu razliku koja se često gubi u raspravama o privatnosti. Kad ljudi razmišljaju o rizicima povezanim s njihovim davateljem internetskih usluga, obično se usredotočuju na pitanje bilježi li njihov ISP njihovu aktivnost pregledavanja. To je legitimna briga, ali drugačiji problem od onoga što se ovdje dogodilo.

U ovom slučaju, pitanje nije o tome što je Odido mogao vidjeti od mrežnog ponašanja korisnika. Radi se o administrativnim i podacima za naplatu koje je tvrtka držala kao osnovni uvjet pružanja telekomunikacijske usluge. Svaki korisnik koji se prijavio za Odido plan morao je dostaviti osobne podatke i podatke o plaćanju. Ti su podaci bili pohranjeni, a bili su neadekvatno zaštićeni.

To je rizik koji se primjenjuje na svaku tvrtku s kojom poslujete, a ne samo na vašeg ISP-a. No ISP-ovi su posebno vrijedna meta jer drže podatke o ogromnom broju ljudi, često uključujući pojedinosti o plaćanju i verificirane podatke o identitetu koji moraju biti točni za potrebe naplate i pravne usklađenosti.

Središnja tvrdnja pravne akcije — da je Odido bio nemaran u svojim sigurnosnim praksama — dotječe srž problema. Korisnici nisu imali smislenu mogućnost revizije načina pohrane ili zaštite svojih podataka. Jednostavno su morali vjerovati tvrtki, a čini se da je to povjerenje bilo pogrešno usmjereno.

Što to znači za vas

Ako ste korisnik Odida, trebate pratiti svoj bankovni račun zbog eventualnih neovlaštenih transakcija i razmisliti o obavještavanju vaše banke o povredi kako bi mogli označiti sumnjive aktivnosti. S obzirom na to da su IBAN brojevi bili izloženi, vrijedi pregledati vaše autorizacije izravnog terećenja i provjeriti ima li onih koje ne prepoznajete.

Šire gledano, povreda Odida korisni je podsjetnik da vaša izloženost povredama podataka nije ograničena na vaše vlastito mrežno ponašanje. Čak i ako ste oprezni u pogledu toga što dijelite i gdje pregledavate, tvrtke s kojima poslujete drže informacije o vama i donose vlastite sigurnosne odluke bez vašeg sudjelovanja.

Europljani imaju jača prava zaštite podataka od mnogih drugih regija zahvaljujući Općoj uredbi o zaštiti podataka (GDPR). Kolektivna tužba protiv Odida primjer je tih prava koja se kolektivno ostvaruju. GDPR daje pojedincima pravo na traženje naknade za štetu prouzročenu kršenjima pravila zaštite podataka, a brzo prihvaćanje ovog zahtjeva sugerira da mnogi pogođeni korisnici ozbiljno shvaćaju to pravo.

Praktični koraci koje treba poduzeti nakon bilo koje povrede podataka:

Provjerite jesu li vaši podaci bili uključeni korištenjem usluga obavješćivanja o povredama
Kontaktirajte svoju banku ako su bili izloženi detalji financijskog računa poput IBAN-ova
Budite oprezni na phishing e-poruke ili pozive koji koriste vaše stvarne osobne podatke kako bi izgledali legitimno
Pregledajte svoje kreditno izvješće zbog nepoznatih računa ili upita
Ažurirajte lozinke na računima koji dijele iste adrese e-pošte ili telefonske brojeve kao i probijena usluga

Razmjer povrede Odida i brzina pravnog odgovora šalju jasnu poruku telekomunikacijskim pružateljima diljem Europe: neadekvatna sigurnost podataka nosi stvarne pravne i financijske posljedice. Za korisnike, ovaj je epizod podsjetnik da zaštita vaših osobnih podataka zahtijeva ne samo dobre osobne navike, već i pozivanje organizacija koje drže vaše podatke na odgovornost kada ne ispune standarde.

Nizozemski telekomunikacijski div Odido suočava se s masovnom pravnom akcijom nakon masovne povrede podataka

Koji su podaci bili izloženi i zašto je to važno

Povrede ISP-a nasuprot ISP bilježenja: dvije odvojene brige

Što to znači za vas

// FAQ

// Povezano