Телекоммуникационный гигант Odido столкнулся с массовыми судебными претензиями после масштабной утечки данных
Коллективный иск, поданный против нидерландского телекоммуникационного провайдера Odido, за первые 24 часа собрал более 200 000 сторонников, что делает его одним из самых быстрорастущих судебных исков в современной европейской истории защиты данных. Иск стал следствием кибератаки, в результате которой были скомпрометированы личные данные 6,2 миллиона клиентов Odido, включая имена, домашние адреса и номера банковских счетов IBAN. Истцы утверждают, что Odido проявила халатность в отношении хранения и защиты пользовательских данных, и требуют финансовой компенсации за произошедшую утечку.
Для понимания масштаба: население Нидерландов составляет около 17 миллионов человек. Утечка, затронувшая 6,2 миллиона человек, означает, что значительная часть жителей страны могла лишиться конфиденциальных личных данных в результате одного инцидента.
Какие данные были скомпрометированы и почему это важно
Не все утечки данных несут одинаковый уровень риска. Сочетание информации, раскрытой в результате утечки у Odido, вызывает особую обеспокоенность, поскольку затрагивает сведения, которые могут быть использованы для кражи личных данных и финансового мошенничества.
Имена и адреса сами по себе представляют относительно невысокий риск. Однако в совокупности с номерами IBAN, идентифицирующими индивидуальные банковские счета по всей Европе, скомпрометированные данные превращаются в инструментарий для злоумышленников. Номера IBAN могут использоваться для инициирования несанкционированных прямых дебетовых списаний в рамках платёжной системы SEPA, применяемой по всему Европейскому союзу. Мошенники, располагающие достаточным объёмом личной информации, также могут убедительно выдавать себя за жертв при обращении в банки, коммунальные службы или государственные органы.
Подобный тип комплексной утечки данных в криминальных кругах иногда называют набором «fullz» — полным профилем, содержащим достаточно информации для того, чтобы выдать себя за другого человека. Чем полнее картина, тем ценнее она для злоумышленников и тем более разрушительной оказывается для пострадавших людей.
Утечки данных у провайдеров и логирование данных провайдерами: два разных вопроса
Инцидент с Odido наглядно демонстрирует важное различие, которое нередко теряется в дискуссиях о конфиденциальности. Когда люди задумываются о рисках, связанных с их интернет-провайдером, они, как правило, сосредотачиваются на вопросе о том, ведёт ли провайдер журнал их действий в интернете. Это обоснованная проблема, но она отличается от того, что произошло в данном случае.
Здесь речь идёт не о том, что Odido могла видеть в поведении клиентов в сети. Речь идёт об административных и биллинговых данных, которые компания хранила как неотъемлемое условие предоставления телекоммуникационных услуг. Каждый клиент, оформивший тариф Odido, был обязан предоставить личные сведения и платёжную информацию. Эти данные хранились, и их защита оказалась недостаточной.
Данный риск применим к любой компании, с которой вы ведёте дела, а не только к интернет-провайдерам. Однако провайдеры представляют собой особенно привлекательную цель, поскольку располагают данными огромного числа людей — зачастую включая платёжные реквизиты и верифицированную личную информацию, которая должна быть точной в целях выставления счетов и соблюдения законодательных требований.
Ключевое обвинение в рамках судебного иска — халатность Odido в области обеспечения безопасности — затрагивает суть проблемы. У клиентов не было реальной возможности проверить, как хранятся и защищаются их данные. Им оставалось лишь доверять компании, и это доверие, судя по всему, оказалось напрасным.
Что это означает для вас
Если вы являетесь клиентом Odido, вам следует отслеживать свой банковский счёт на предмет несанкционированных транзакций и рассмотреть возможность уведомления банка об утечке, чтобы тот мог отмечать подозрительную активность. Учитывая, что были скомпрометированы номера IBAN, рекомендуется проверить все авторизованные прямые дебетовые списания и убедиться, что среди них нет незнакомых.
В более широком смысле утечка данных у Odido служит полезным напоминанием о том, что ваша уязвимость перед утечками данных не ограничивается вашим собственным поведением в интернете. Даже если вы внимательно следите за тем, что публикуете и какие сайты посещаете, компании, с которыми вы ведёте дела, хранят информацию о вас и принимают собственные решения в области безопасности без вашего участия.
Жители Европы располагают более широкими правами в области защиты данных, чем во многих других регионах мира, благодаря Общему регламенту по защите данных (GDPR). Коллективный иск против Odido — пример коллективного использования этих прав. GDPR предоставляет физическим лицам право добиваться компенсации за ущерб, причинённый нарушениями правил защиты данных, а стремительный рост числа участников иска свидетельствует о том, что многие пострадавшие клиенты относятся к этому праву серьёзно.
Практические шаги после любой утечки данных:
- Проверьте, были ли включены ваши данные, воспользовавшись сервисами уведомления об утечках
- Свяжитесь с банком, если были скомпрометированы реквизиты финансовых счетов, в том числе номера IBAN
- Будьте бдительны в отношении фишинговых писем или звонков, в которых используются ваши реальные личные данные для придания достоверности
- Проверьте свою кредитную историю на предмет незнакомых счетов или запросов
- Обновите пароли для аккаунтов, к которым привязан тот же адрес электронной почты или номер телефона, что и в скомпрометированном сервисе
Масштаб утечки данных у Odido и стремительная правовая реакция на неё отправляют чёткий сигнал телекоммуникационным провайдерам по всей Европе: недостаточная защита данных влечёт за собой реальные правовые и финансовые последствия. Для клиентов этот эпизод служит напоминанием о том, что защита личной информации требует не только хороших личных привычек, но и привлечения к ответственности организаций, которые хранят ваши данные, когда те не справляются со своими обязанностями.
