A OnePlus arra figyelmeztet, hogy illetéktelenek férhettek hozzá egyes ügyfeleik rendelési adataihoz

A publikus bejelentés előtt a OnePlus levelet küldött azon ügyfeleinek, akik érintettek az illetéktelen hozzáférésben. A cég sietett megerősíteni, hogy fizetéssel kapcsolatos adatokat, kártyaadatokat, jelszavakat és fiókokat nem érint a betörés, de egyes felhasználók nevéhez, telefonszámához, e-mail címéhez és szállítási címéhez hozzáférhettek, így az érintettek spammerek és adathalászok célpontjai lehetnek.

Akik nem kaptak a cégtől levelet, azok adatai nem sérültek az incidensben. Részletek itt.

( trey | 2019. 11. 23., szo – 13:42 )

Most már ideje lenne felvenni valakit, aki ért a security-hez, mert nem ez volt az első alkalom. Bár, az is lehet, hogy csak azért őket "érinti" a dolog, mert ők transzparensen kezelik az ilyen incidenseket. Ki tudja...

trey @ gépház

( toMpEr | 2019. 11. 23., szo – 18:00 )

ilyenkor nincs csillió eurós gdpr büntetés?

Ok, de ezt hogyan kell elképzelni? Elküldenek egy sárga csekket Shenzhenbe? Azt értem, hogy ha a cégnek van európai képviselete, akkor betilthatják, hogy nem importálhat az EU-ba. De itt a vásárlók Kínából vesznek, a számlát Hong Kongban állítják ki. Mégis hogy lesz ebből irgum-burgum?

trey @ gépház

Ez egy nagyon jó kérdés, szerintem is minimum érdekes egy ilyen. Azért szerintem vannak az EU kezében lehetőségek: egyrészt nem lehetetlen, hogy küldenek egy sárga csekket, és azt a másik oldal komolyan veszi. Példának okáért a hisztiző amcsi online sajtócégek sem úgy reagáltak, hogy leszarom, úgysem tudsz mit csinálni, hanem úgy, hogy leszarom akkor nem szolgáltatok ott. Ami egyébként implikál(hat)ja, hogy adott esetben részt vettek volna egy eljárásban.

Másrészt simán lehet annak is módja, hogy pl egy ottani bíróságon menjen le a folyamat, vagy a folyamat végét valamilyen egyezmény keretében a helyi hatóságok kényszerítsék ki.

Harmadrészt nyilván vannak technikai eszözei az EUnak. Tudja korlátozni pl a cég megjelenését. Tudhatja korlátozni a cég irányába zajló pénzügyi tranzakciókat. És természetesen a vámhatáron nyugodtan meg tudja fogni magukat a termékeket is.

Hogy ezekből melyik mennyire reális, az egy másik kérdés.

Itt sem az incidensert buntettek, hanem mert

Insufficient technical and organisational measures to ensure information security
Insufficient legal basis for data processing
Non-compliance with general data processing principles

Ha komolyan erdekel a tema, erdemes elolvasni a GDPR-t a mindenfele marketing-anyagok helyett, nem hosszu, es nem is kifejezetten bonyolult nyelvezetu.

Te úgy érted egyébként, ha Gipsz Jakab kisvállalkozó indít egy webshop-ot, ami alatt futó motorban egy 0day hiba miatt, amíg alszik elviszik a nagyon fontos adatokat (e-mail cím), akkor Jakabot 100 ezer euróra kellene büntetni? Ha pedig nem tudja kifizetni, akkor vinni a házát, kölkeit GYIVI-be, őt magát meg börtönbe?

Vagy hol húznád meg a dolgot?

trey @ gépház

A GDPR büntetéseket az éves árbevétellel arányosítják.

Nem is tudtam, hogy a kiszivárgó adatok értéke arányban áll az éves bevétellel. Biztosan egy okos ember alkotta meg ezt a GDPizét.

Amúgy, mint az előző kommentből is kiderül, a bírság akkor jár, ha arra jut a vizsgálat, hogy nem volt megfelelőek a biztonsági óvintézkedések. (pl.: nem frissítette a webshopot)

Hát, egy 0day esetén erre vajmi kevés esélye lenne, nemde?

trey @ gépház

 

Nem is tudtam, hogy a kiszivárgó adatok értéke arányban áll az éves bevétellel. 

Mert nem is. :)

Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható

Szerintem félreérted. Tegyük fel, hogy 10 ezer ember regisztrálva van az e-mail címével egy free internetes szolgáltatásban, ami nem keres egy forintot sem. Ugyanezen emberek pedig ugyanazzal az e-mail címmel egy multi vállalatnál (pl. internetszolgáltató), aminek éves bevétele sok tíz milliárd forint. Akkor most ugyanaz az adat kiszivárgása egyik esetben 0 forint, a másikban meg 10 000 000 EUR?

trey @ gépház

Szerintem félreérted.

Konnyen lehet.

A buntetes maximalis merteke a GDPR szerint MAX(10M EUR, [Eves bevetel]*2%). Kevesebb lehet, tobb nem. Ha neked nincs beveteled, akkor a buntetesed 0 EUR es 10M EUR kozott lesz valahol. 

Buntetest viszont nem adatszivargasra adnak, hanem bizonyos jogszabalyi kotelezettsegek ("reasonable" vedelem, adatkezelesi policy, incidensek bejelentese, stb.) elmulasztasara. Senki nem varja, hogy tokeletes vedelmet epits ki, mert azt nem lehet.

Biztosan egy okos ember alkotta meg ezt a GDPizét.

Politikusok alkották meg, ez gondolom megmagyaráz pár dolgot. :-)

0day exploit esetén ha az illető minden tőle elvárható óvintézkedést megtett, akkor nem lesz sárga csekk. Nem várható el Józsikától aki egy kis forgalmú webshopot üzemeltet ugyan az mint pl. az Amazon-tól. Ha így lenne, hamarosan csak a nagy webshopok maradnának. 

Igen, de nem "Insufficient technical and organisational measures to ensure information security" jogcímen. Ez csak akkor lehetséges, ha gyanú (data leak) merül fel és vizsgálódni kezdenek.

Update: Mármint nyilván vizsgálódhatnak bármikor, de a linkelt oldalon lévő adatok alapján ez egyelőre nem jellemző, azok mindegyike bejelentés utáni vizsgálat eredménye.

Sufficient measure-ok mellett is lehet incidens. Ezert a buntit sem az incidensek elofordulasa miatt kapod, hanem a kotelessegeid elmulasztasara.

a) Megfelelo vedelmi intezkedesek mellett egy vendor software 0day-t felhasznalva elviszik az adatbazist
b) Jozsi egy titkositatlan pendrive-ra bakcupol, amit elhagy a buszon

Mindkettoben ugyanaz a DB szivarog ki. Az egyikbol lesz sarga csekk, a masikbol nem.

szerk: 

Ez csak akkor lehetséges, ha gyanú (data leak) merül fel és vizsgálódni kezdenek.

Nem egeszen, de ha igy is lenne, ez nem ok-okozati osszefugges, meg ha van is korrelacio. Nem csak data leak eseten lesz vizsgalat.