Jest sobie firma hostingowa. Poinformowała ona swoich klientów, że baza klientów mogła zostać nielegalnie skopiowana przez jednego z jej pracowników. Baza zawiera dane osobowe, zaszyfrowane hasło i niektóre dane techniczne.

Na pytanie czy dane konkretnego klienta zostały wykradzione czy też nie firma kieruje na drzewo do swojego oficjalnego komunikatu, który sprowadza się do prośby o zmianę hasła.

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

Krystek

W dniu 2013-07-24 10:18, Krystek pisze:

Jest sobie firma hostingowa. Poinformowała ona swoich klientów, że baza
klientów mogła zostać nielegalnie skopiowana przez jednego z jej
pracowników. Baza zawiera dane osobowe, zaszyfrowane hasło i niektóre
dane techniczne.

Na pytanie czy dane konkretnego klienta zostały wykradzione czy też nie
firma kieruje na drzewo do swojego oficjalnego komunikatu, który
sprowadza się do prośby o zmianę hasła.

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu
konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie
klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

Zapewne nie wiedzą dokładnie czyje dane zostały wykradzione, bo to może być technicznie niemożliwe do stwierdzenia, bo te dane nie znikają, one zostały skopiowane...


--
Kaczus
http://kaczus.cba.pl

On 2013-07-24 10:30, Tomasz Kaczanowski wrote:

Zapewne nie wiedzą dokładnie czyje dane zostały wykradzione, bo to może
być technicznie niemożliwe do stwierdzenia, bo te dane nie znikają, one
zostały skopiowane...

formalnie to jest możliwe do stwierdzenia. pytanie, czy był tam jakiś mechanizm audytowy. bo jeśli nie, to czy można wnioskować, że baza klientów nie była wystarczająco dobrze zabezpieczona? zabezpieczenie to nie tylko mechanizmy sankcjonujące dostęp ale również mechanizmy umożliwiające późniejsze określenie kto, co i kiedy coś zmajstrował. jeśli firma rozkłada ręce to coś jest nie halo i może GIODO powinno się tym zainteresować?

pozdrawiam,
geos

On 2013-07-24, geos <geos@SPAMPRECZ.autograf.pl> wrote:

[...]

jeśli firma rozkłada ręce to coś jest nie halo i może GIODO powinno się tym zainteresować?

A co ma GIODO do danych do faktury?

--
Wojciech Bańcer
proteus@post.pl

On 2013-07-24 11:32, Wojciech Bancer wrote:

jeśli firma rozkłada ręce to coś jest nie halo i może GIODO powinno się
tym zainteresować?

A co ma GIODO do danych do faktury?

a jakie ma znaczenie do czego dane osobowe są używane?

baza z danymi osobowymi powinna być po prostu zabezpieczona bez względu na to czy jest wykorzystywana do faktur czy do czegoś innego.

pozdrawiam,
geos

On 2013-07-24, geos <geos@SPAMPRECZ.autograf.pl> wrote:

[...]

A co ma GIODO do danych do faktury?

a jakie ma znaczenie do czego dane osobowe są używane?

Niektóre cele mają mniej obowiązków prawnych.

baza z danymi osobowymi powinna być po prostu zabezpieczona bez względu na to czy jest wykorzystywana do faktur czy do czegoś innego.

W jaki sposób zabezpieczyłeś bazę danych osobowych w Twojej komórce?
Czy zapisujesz informację i każdym kopiowaniu z niej?

--
Wojciech Bańcer
proteus@post.pl

On 2013-07-24 12:52, Wojciech Bancer wrote:

W jaki sposób zabezpieczyłeś bazę danych osobowych w Twojej komórce?
Czy zapisujesz informację i każdym kopiowaniu z niej?

giodo wydało oświadczenie w sprawie tego typu baz danych. nie podlegają one pod ustawę.

On 2013-07-24, geos <geos@SPAMPRECZ.autograf.pl> wrote:

[...]

W jaki sposób zabezpieczyłeś bazę danych osobowych w Twojej komórce?
Czy zapisujesz informację i każdym kopiowaniu z niej?

giodo wydało oświadczenie w sprawie tego typu baz danych. nie podlegają one pod ustawę.

Oczywiście że podpada, tylko że.

"Art. 43.  1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

[...]

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

[...]

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego."

GIODO, w tym co opisywałeś, powoływało się właśnie na Art. 43. ust 1, pkt. 11). Jest też pkt. 8) który pozwala przetwarzać dane dla potrzeb fakturowania, również bez zgłoszenia. I stąd było moje poprzednie pytanie.

--
Wojciech Bańcer
proteus@post.pl

On 2013-07-24 15:03, Wojciech Bancer wrote:

GIODO, w tym co opisywałeś, powoływało się właśnie na Art. 43. ust 1,
pkt. 11). Jest też pkt. 8) który pozwala przetwarzać dane dla potrzeb
fakturowania, również bez zgłoszenia. I stąd było moje poprzednie
pytanie.

dzięki. czy gdyby okazało się, że baza była zgłoszona to miałoby to jakieś znaczenie?

W liście datowanym 24 lipca 2013 (10:18:43) napisano:

Jest sobie firma hostingowa. Poinformowała ona swoich klientów, że baza
klientów mogła zostać nielegalnie skopiowana przez jednego z jej pracowników. Baza zawiera dane osobowe, zaszyfrowane hasło i niektóre dane techniczne.

Na pytanie czy dane konkretnego klienta zostały wykradzione czy też nie
firma kieruje na drzewo do swojego oficjalnego komunikatu, który sprowadza się do prośby o zmianę hasła.

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

OVH?

--
Pozdrowienia,
 Yakhub

W dniu 2013-07-24 10:35, Yakhub pisze:

OVH?

Tak.


--

Dziękuję. Pozdrawiam.   sqlwiel.

On 2013-07-24, Krystek <krystian@usunto.pl> wrote:

[...]

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

Załóż że tak i zmień hasło.

--
Wojciech Bańcer
proteus@post.pl

W dniu 2013-07-24 11:32, Wojciech Bancer pisze:

On 2013-07-24, Krystek<krystian@usunto.pl>  wrote:

[...]

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu
konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie
klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

Załóż że tak i zmień hasło.

Hasło jest zaszyfrowane, więc nie jest takie "gołe". (OK, wiem, zaraz się odezwą "hackerzy", którzy takie hasła łamią z palcem w d.) Reszta danych, to dane osobowe, niezaszyfrowane. I w tym jest problem.


--

Dziękuję. Pozdrawiam.   sqlwiel.

Osobnik posiadający mail @googlepoczta.com napisał(a) w poprzednim odcinku co następuje:

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu
konkretnego klienta w ramach tej kradzieży? Osoba pytającą to
właśnie klient i chciałby się dowiedzieć więcej czy jego dane
zostały wykradzione.

Załóż że tak i zmień hasło.

Hasło jest zaszyfrowane, więc nie jest takie "gołe". (OK, wiem, zaraz się odezwą "hackerzy", którzy takie hasła łamią z palcem w d.) Reszta danych, to dane osobowe, niezaszyfrowane. I w tym jest problem.

Ciekawe, czy tam naprawde były zaszyfrowane hasła, czy moze jakies hashe wyliczone z haseł... --
Pozdrawia... Budzik
b_ud_zi_k_6_1 na poczta kropka onet kropka pl  (adres antyspamowy, usuń także "_")
"No bo jest tak: ludzie dzielą się na trzy grupy: tych, którzy umieją
liczyć i tych, którzy nie umieją."  Aneta Baran

On 2013-07-24, Budzik <budzik61@poczta.o.n.e.t.pl.nie.spam.oj> wrote:

[...]

Załóż że tak i zmień hasło.

Hasło jest zaszyfrowane, więc nie jest takie "gołe". (OK, wiem, zaraz się odezwą "hackerzy", którzy takie hasła łamią z palcem w d.) Reszta danych, to dane osobowe, niezaszyfrowane. I w tym jest problem.

Ciekawe, czy tam naprawde były zaszyfrowane hasła, czy moze jakies hashe wyliczone z haseł...

Najlepiej nie gdybać, tylko czytać u źródła.

http://status.ovh.net/?do=details&id=5070

"The European customer database includes personal customer information such as: surname, first name, nic, address, city, country, telephone, fax and encrypted password. The encryption password is "Salted" and based on SHA-512, to avoid brute-force attacks."

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Krystek" <krystian@usunto.pl> napisał w wiadomości news:51ef8de4$0$38121$c3e8da3$f6268168news.astraweb.com...

Jest sobie firma hostingowa. Poinformowała ona swoich klientów, że baza klientów mogła zostać nielegalnie skopiowana przez jednego z jej pracowników. Baza zawiera dane osobowe, zaszyfrowane hasło i niektóre dane techniczne.

Na pytanie czy dane konkretnego klienta zostały wykradzione czy też nie firma kieruje na drzewo do swojego oficjalnego komunikatu, który sprowadza się do prośby o zmianę hasła.

Czy można jakoś prawnie uzyskać informację od tej firmy nt. statusu konkretnego klienta w ramach tej kradzieży? Osoba pytającą to właśnie klient i chciałby się dowiedzieć więcej czy jego dane zostały wykradzione.

Podejrzewam, że wykryli, iż ktoś z pracowników wszedł w posiadanie haseł dostępu. Mógł dane skopiować, a mógł tylko móc to zrobić. Nie bedą informować - nawet jak wiedzą - które dane skopiowano, bo przecież automatycznie naraziliby sie na odpowiedzialność cywilną. Po co im problem?