Adatszivárgás: iStyle

HUP cikkturkáló

Nem igazán azt kapták az iStyle potenciális iPhone-vásárlói tegnap, amit vártak

Egy véletlen baki folytán egy belső szervezeti változásokról szóló e-mail ment ki a nagyközönségnek az iStyle hírlevele helyett - meglehetősen rossz időzítéssel.

A véletlenül rossz listára kiküldött e-mail meglehetősen szenzitív időszakban, az iPhone 16 széria bevezetésekor érkezett meg pontosan meg nem határozott számú, de vélelmezhetően több ezres nagyságrendű felhasználói bázishoz.

[...]

Az e-mail az újonnan belépő kolléga nevét és fényképét egyaránt tartalmazta, akárcsak két előléptetett és három, a cégtől távozott munkatárs nevét, illetve azoknak az iStyle-nál eltöltött - esetenként meglehetősen rövid - pályafutásának idejét.

[...]

  • 2312 megtekintés

( Friczy v | 2024. 09. 24., k – 10:33 )

Megyek reklamálni, én nem kaptam, pedig egyszer vettem náluk egy töltőt.

( zrubi v | 2024. 09. 24., k – 10:37 )

Hogyan lehet még szánalmasabbá tenni:

 

A cég az adatszivárgást követően nem sokkal egy újabb e-mailt is kiküldött a listára, amiben arra kérték a címzetteket, hogy töröljék a szervezeti változásokról szóló e-mailt a postafiókjukból.

zrubi.hu

nagyon sok eve megtortent, hogy egy ceg vezetoje karacsonyi udvozletet kuldott a vip ugyfeleinek, persze cc-ben latszott az osszes cime. ami sok okbol is ciki volt, meg nem is akarta nagy dobra verni kik naluk a vip ugyfelek.

kerte hogy hivjuk vissza az emailt... mondtam az lehetetlen. hat erre o is kikuldott egy 2. emailt amibe kerte hogy toroljek az elozot.

pedig ha nem hivja fel kulon a figyelmet ra, akkor 99.9% hogy mindenki torli az aznapi 100. karacsonyi udvozletet olvasas nelkul...

mi mást csinálhatnának? hány ügyfelünk küld nekünk emailt, hogy egy hatalmas kétnyelvű bekezdés van minden email végén, hogy "ez az email bizalmas információkat tartalmaz, ha nem ön a címzett, törölje stb". kb ugyanennyit ér.

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

mi mást csinálhatnának?

- elismerik hogy balfaszok,

- BOCSÁNATOT kérnek, hogy balfaszok voltak,

- vázolják, hogy milyn lépéseket tesznek/terveznek, hogy ez legközelebb ne forduljon elő.

- Bocsánatot kérnek még egyszer

 

^ Ezt mind publikusan

 

Privátban (belső körben) meg az érintetteket (akiknek a privát adatait kitereették) kompenzálják a balfaszságukért.

 

szerintem.

zrubi.hu

dehát elismerték, hogy tévesen küldték ki a levelet. nem olyan nagy művészet amúgy rossz címlistát bekattintani egy ilyen hírlvélküldőnél. gondolom, belső lista helyett feliratkozóknak küldték. szivárgásnak titulálni elég szenzációhajhász. le volt írva az új kolléga bemutatkozása. és elköszöntek 3-tól. szereti az új kolléga a kajálást.

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Az e-mail az újonnan belépő kolléga nevét és fényképét egyaránt tartalmazta, akárcsak két előléptetett és három, a cégtől távozott munkatárs nevét, illetve azoknak az iStyle-nál eltöltött - esetenként meglehetősen rövid - pályafutásának idejét.

vs.

szivárgásnak titulálni elég szenzációhajhász

ROTFL :D

trey @ gépház

Ebben abszolut igazad van, ezert lehet azt mondani, hogy ez egy hiba volt. A szandekos szivarogtatas es a vetlen hiba kozos metszete, hogy adatok kerulnek ki, azonban nem minden hiba szandekos szivarogtatas.

IMHO jelen helyzetben a szivarogtatas szofordulat nem az egzaktsag, hanem a clickbait hatas miatt kerult alkalmazasra.

Ne eufemizálj.

Bevallom, számomra se igazán világos, hogy ebben a történetben tulajdonképpen kit és milyen kár ért és mit is kellene "kompenzálni" ahogy fentebb valaki írta.

Ez kb. olyan, mint az a téves hívás, amikor nem derül ki azonnal, hogy valami nem stimmel. Velem egyszer egy fazon minden bevezetés nélkül közölte, hogy "meghalt a nagymama", egy nő pedig, mikor rákérdeztem, hogy mégis kicsoda, teljesen komolyan közölte, hogy ő az anyám.

És akkor az alteregóimnak szánt dolgokat még nem is említettem.

Science for fun...

Köszönöm a kimerítő magyarázatot és az útbaigazítást.

Viszonzásként szeretném figyelmedbe ajánlani Litkai Gergely hasonló esetekre vonatkozó NAIH-DPO-kompatibilis eljárásrendjét:

1. Az iStyle levél téves címzettjeinek törölniük kell a levelet. 

2. A címzettet utána valakinek le kell nyilaznia.

3. Aki lenyilazta, azt is valakinek le kell nyilaznia.

Azt hiszem, ezek után érthető, miért nem kívánok Apple-ügyfél lenni.

Science for fun...

Közvetlenül nyilván semmi, de amennyire tudom, az iStyle semmi mást nem árusít, csak Apple termékeket, tehát kijelenthető, hogy minden ügyfele egyben Apple-ügyfél is.

Remélem, így már kellően egzakt a megfogalmazás.

Science for fun...

Amennyire tudod - rosszul :) Igen, az iStyle Apple reseller, és valóban Apple termékeket árul elsősorban, illetve sok más olyan kiegészítőt, amely Apple termékekhez kapcsolódik. De nem csak Apple termékeket. Nem biztos, hogy minden ügyfele egyben Apple-ügyfél, mert a kiegészítők egy része nem csak Apple készülékkel működik.

És szerintem egy márkabolt sem köthető össze egy az egyben az adott márka gyártójával.

En nem vagyok akkora standupos, mint te vagy, de jobban ulne a poen, ha azzal zartad volna soraidat, hogy "ezert nem akarok istyle ugyfel lenni" (mert az eredeti mondas impliciten tartalmazza azt a tevkepzetet hogy csak istyle ugyfel lehet apple ugyfel). Sot tovabbmegyek, ugy halvany esely lenne ra, hogy a szerzon kivul mas is poennak lassa. Igy csak egy ostoba komment utani bena magyarazkodasnak tunik a followup, az meg meg annyira sem vicces, mint a semmennyi. De akkor zarjuk le annyival, hogy nalam mellement, es akkor nincs harag.

 

es akkor nincs harag

Köszönöm a tanácsokat! Két dolog jutott róluk eszembe.

Az egyik egy novella, amiben egy repülni tudó embernek addig magyarázzák, hogyan kell szépen repülni, hogy végül elmúlik tőle a képessége.

A másik egy netes fórumon olvasott tömör megállapítás, mely szerint az emberek attól lesznek igazán ingerültek, ha vallási meggyőződésükben zavarják meg őket.

Science for fun...

Ha jól értem, itt semmi olyasmi nem került nyilvánosságra, amit maga az érintett ne írna bele a szakmai önéletrajzába, épp csak az adatok közlésének módja sikerült kicsit furcsára.

Akkor viszont mi a kár? Ki és hogyan állapítja meg a fájdalomdíj összegét, ha senkinek nem fáj semmije? Azt értem, hogy az ügyet szanaszéjjel lehetne jogászkodni, de volna ennek bármi értelme, már persze azon kívül, hogy az emberek imádják egymást szívatni?

Science for fun...

Nem lehet tudni, hogy pontosan mi került nyilvánosságra. A cikk leírja, hogy adott esetben név, fénykép, foglalkoztatottság ideje, és amennyiben ez utóbbi meglehetősen rövid volt, nem biztos, hogy az érintett ténylegesen beírná az önéletrajzba.

Ettől függetlenül nem vagyok biztos, hogy mondjuk a szakmai önéletrajzba (adott célközönség) beírandó adataimat szeretném a széles, válogatatlan nyilvánosság elé tárni. A szakmai önéletrajz egy célhoz kötött adatszolgáltatás, egy random felhasználói bázisnak kiküldött adathalmaz viszont nem.

Amit Zeller és Trey írt +

Ügyfélként is ijesztő a dolog, hogy össze vissza kiküldözgetnek leveleket. Mindenképpen szánalmas. Ügyfélként/vevőként is elgondolkodik az ember, hogy milyen a cég. Nem sikerült megugorniuk ezt a feladatot, és nem oda való adatokat küldtek szét.

Igen, lehetett volna rosszabb is. Pl. Az új  munkatársak telefonszámát is odaírják. Ha ez a munkatárs saját száma, ott már konkrét kár éri. Egy, akár 20 éves telszámot meg kell változtatnia. A lehetőség benne volt. Ilyen tekintetben szerencséjük volt. Kisebb súlyú adatokat tartalmazott.

Ha szakmailag akarjuk feltárni a hiba eredetét, mi történhetett?

Tippre egy levélküldő rendszerben, egy adatbázisban vannak a belső és külső érintettek.
Örök dilemma és sok házon belüli vitatéma: legyen egy rendszerbe integrálva minden, mert jaj de jó, mindent egy helyről el lehet érni, milyen kényelmes!
Vagy legyen elszeparálva, külön oldal, külön login. Igaz kicsit macerás, de kisebb az emberi mulasztás esélye, biztonságosabb. Nehezebb hülyeséget csinálni.

Az a levél _végére_ biggyesztett jogi lóf...sz az a legnagyobb vicc... Ugye ha odáig eljutsz az olvasásban, akkor már elolvastad, tehát a levelet ugyan tudod törölni, de azt, amit olvastál, azt 100%-ban elfelejteni már nem igazán...

Bónusz, hogy az egyik korábbi munkahelyemen is kötelező volt minden levélben (belső levelezésben is...) szerepelni a jogászok által kiagyalt szövegnek, amibe az egyik kolléga szépen belerakta, hogy aki ezt a mondatot olvassa, az jelentkezzen nála egy palack jóféle borért. Évekig ott volt, és senki sem jelentkezett... Még poénból sem.

 

( asm v | 2024. 09. 24., k – 12:56 )

Nekem az a fura, hogy ugyanazon CRM rendszert hasznaljak sima egyszeru belso levelezesre, mint amit az ugyfelek fele.

( sz332 v | 2024. 09. 24., k – 12:57 )

Megkaptam én is, meg is lepődtem hogy milyen transzparensen kommunikálnak. Ezek szerint nem volt szándékos.

( Proci85 v | 2024. 09. 24., k – 16:50 )

Én nem éreztem aggályosnak sem az első levelet sem a másodikat. Oke, a második szokatlan. De ha nem szólnak, észre sem veszem. Igazából ezek után tüzetesen elolvasva az adatvédelmileg aggályos levelet, nem éreztem annak ezek után sem.

Túl van már tolva ez az adatvédelmi téma. En egy sima, kozvetlen hangvételű tájékoztató levélnek tekintettem. Belefér.

"Igazából ezek után tüzetesen elolvasva az adatvédelmileg aggályos levelet, nem éreztem annak ezek után sem."

Rövid kérdés:  Jogosan ismerted-e meg a levélben szereplő személyes adatokat? Ha a válaszod az, hogy nem, akkor bizony adatvédelmileg minimum aggályos a dolog. (Sőt mivel a második levelet elolvastad, így tudatában voltál annak, hogy az első levelet törölnöd kell - ennek ellenére mégis elolvastad, és itt nyilvánosan véleményezted is a dolgot...

Értem amit mondasz, meg is értem. Továbbra is tartom: loxar ami abban volt.

Magamból indulok ki: ha velem történne ez, utolag is tennék rá. Sőt, ha jogilag megállja a helyet, utolag a munkaadóknak hozzájárulásomat adnám. Meg tudtak rólam par közvetlenebb infot. Semmi extra nem volt benne.Sőt, nem egy “munkatársaink” oldalon ezek ugyanúgy le vannak írva.

Hát én ezt nem érzem kínosnak. Ha olyan kerül ki, hogy az később hátrányosan érinthet, pl vallás, nemi identitás, esetleg valami betegség, akkor már máshogy állnék hozza.

De ebben olyan tartalom volt, amit en is bátran közzé tennék egy családias hangvételű cégben, és a családias légkörhöz szokott ugyfelkorben.

Hasonló helyen voltam, hasonló kozvetlen stílus volt a hirlevelekben is.

_Ezt_a szitut továbbra sem érzem gáznak, mégha a naih meg gdpr meg hasonló dolgok miatt most sokan habzó szájjal ráugranak.

"Hát én ezt nem érzem kínosnak. Ha olyan kerül ki, hogy az később hátrányosan érinthet, pl vallás, nemi identitás, esetleg valami betegség, akkor már máshogy állnék hozza."

Többek között ezeket nevezi a törvény különleges adatnak, amikre a személyes adatokhoz képest sokkal szigorúbb kötöttségeket rendel.
 

Igen, tudom, itt szigorítás van.

Egyébként szerintem azért is ingerküszöb alatti nekem a szitu, mert néhány havonta kapok random céges partnerektől levelet, ahol tájékoztatnak, hogy most már nem Józsi, hanem Béla a kapcsolattartó és ott vigyorok rám egy fényképen, meg esetleg egy személyesebb hangvételű bemutatkozás olvasható róla. Gondolom, hogy a következő kontakt során ne csak a száraz szakmáról legyen szó, hanem lehessen személyesebb témákról is pár szót váltani.
Szóval nekem ezek "mindennaposak".
Oké, értem, _elvileg_nem járult hozzá stb...de na. Nem esszük olyan forrón a kását. Akár marketing trükk is lehetne.

( Raynes v | 2024. 09. 24., k – 18:50 )

Nem baj az, a következő mailben ott lesz a körmailt kiküldő, sürgősen távozó kolléga neve, fényképe is :D

The world runs on Excel spreadsheets. (Dylan Beattie)

( n.balazs v | 2024. 09. 24., k – 19:07 )

Hát ezt nagyon csúnyán elcseszték. Lehet finomkodni, elmásolni a helyzetet. Számomra a személyes adatok védelme különösen fontos. Örülök, hogy nem voltam most ebben érintett - nem vagyok iStyle ügyfél / dolgozó.

Ordibáltam én már emiatt IBF-fel, aki nem értette, hogy miért gond a magán telefonszámomat külső féllel, partnerrel az előzetes engedélyem nélkül megosztani. HR-nél is felnyomtam az illetőt. Utána megtanulta a dolgok rendjét.

A telszám, mail cím _szerintem_ még gázabb, mint egy név....utóbbival mit kezd? Na de az előbbieken simán tud zaklatni. A bcc helyetti cc sem azért zavar, mert megtudják. Na bumm. Hanem mert valamelyik szerencsétlen címzett gépén, ha trójai van, már be is kerültem egy címlista adatbázisba. Erre jó lehet a mail cím flagelés, amit évek óta aktívan alkalmazok. Adott oldalon, ha megadom a címem kap egy cimem+oldalnev@domain.hu flaget.
Volt, hogy kaptam úgy EON meg K&H levelet, hogy ilyen mail címemre jött. Nem is kellett gondolkozni, hogy melyik oldal pofázta ki.

> kap egy cimem+oldalnev@domain.hu flaget.

ezt en is alkalmazom, annyi kulonbseggel hogy en atallitottam a postfixben a separatort + jelrol pontra, igy arpi.oldalnev@ a cim amit megadok, nehany helyen a +-t szurik, meg email gyujto bot helyeben en is levagnam, de a pontot nem merik :)

A név + munkahely információk tökéletesen alkalmasak többek között az alábbiakra:
- phising támadás előkészítéséhez, információk jogosulatlan megszerzéséhez a támadó részéről
- kellően rosszindulatú emberek rossz színben tüntethetnek fel a munkáltatóm, kollégáim előtt; bejöhetnek a munkahelyemre, zaklathatnak
- célzottan gyűjthet egy támadó rólam adatokat a cég HR-esének támadásával - sok HR-es úgy ad ki személyes adatokat, mint ahogy mi mondjuk a Linuxról beszélgetünk itt
- biztonsági kockázatot jelent a cégnek, ha publikus az ott dolgozók névsora pl: Paksi Atomerőmű biztonsági szolgálatának névsora vagy mondjuk a NISZ tűzfalait üzemeltetők névsorának listája (kis túlzással)
- zsarolhatóság, rosszindulatúság - lásd: nem mindenki írja kis, hogy mondjuk a LiveJasminnél, EOS-nál, rendőrségnél dolgozott / dolgozik

Lehet még ezeket kombinálni, továbbgondolni.

( kassaiviktor | 2024. 09. 24., k – 22:20 )

beszéltem egyik ismerősömmel, aki dolgozott istyle-nál, és mindta, a szerződésében benne van, hogy ilyet lehet róla nyilvánosságra hozni. nyilván itt ezt nem akarták. de megtörtént. az android fanboyok jöhetnek a megfelelő south park résszel (mert pont apple), de ez van.

itt a hír az ezentúl: olyat kommunikáltunk, amit nem akartunk

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

itt a hír az ezentúl: olyat kommunikáltunk, amit nem akartunk

Segítek a laikusoknak: ezt jelenti az adatszivárgás

HTH

aki dolgozott istyle-nál, és mindta, a szerződésében benne van, hogy ilyet lehet róla nyilvánosságra hozni.

Vajon miért küldték utána az albán vírus style levelet: legyen kedves törölni? :) Miért nem hagyták a picsába annyiban? Rövid gondolkodás elvárt lenne. Lehet, hogy kommunikáltak az adatvédelmi biztosukkal? Az meg azt javasolta, hogy kárenyhítésként legyen egy ilyen lépés, hátha egy adatvédelmi vizsgálatnál jól mutat a proaktivitás?

trey @ gépház