Liczba absurdów, którymi żył w ostatnich tygodniach internet na temat RODO sprawiła, że zapomnieliśmy o sensie wprowadzenia tych regulacji. Tymczasem właśnie otrzymałem pierwszą wiadomość o potencjalnym wycieku mojego hasła w jednym z serwisów. Jak to dobrze, że UE dała nam RODO.
Pierwsza połowa 2018 roku upłynęła pod znakiem RODO. O ile prawo uchwalane w dalekiej Brukseli zazwyczaj nie wywołuje większych emocji, tak nie można tego powiedzieć o nowych standardach ochrony danych osobowych. Niestety, jak to zazwyczaj bywa, niewiele mówiło się o tym, co faktycznie się zmieni. Z nagłówków nie schodziły za to kolejne absurdy RODO. Z jednej strony panika przedsiębiorców spowodowana, a jakże, przeczytanym naprędce postem na jakimś internetowym forum, a z drugiej istny zalew spamu na nasze skrzynki mailowe.
Wystarczyło niewiele ponad 2 tygodnie, abym dowiedział się o pierwszym wycieku moich danych. Chodzi o serwis MyHeritage. To taki portal dla osób zainteresowanych genealogią, który pozwala na tworzenie drzew genealogicznych. Dzięki swojej ogromnej bazie danych portal umożliwia kojarzenie ze sobą członków rodzin z całego świata na podstawie analizy tworzonych przez nich drzew. Serwis mocno niszowy, ale o charakterze globalnym. Na całym świecie korzysta z niego kilkadziesiąt milionów osób. Z tego powodu znalazł się na celowniku hakerów.
Zawiadamiamy Cię, jako jednego z naszych zarejestrowanych użytkowników, że w dniu 4 czerwca 2018 r. o godzinie 13:00 czasu EST dowiedzieliśmy się o naruszeniu bezpieczeństwa danych, obejmującym 92,3 miliona adresów e-mail użytkowników MyHeritage i ich zakodowanych haseł (nie są to rzeczywiste hasła).
Dowiedzieliśmy się o naruszeniu, gdy Główny Administrator ds. Bezpieczeństwa Informacji MyHeritage otrzymał wiadomość od analityka bezpieczeństwa, że znalazł on plik o nazwie myheritage zawierający adresy e-mail i zakodowane hasła na prywatnym serwerze poza MyHeritage. Nasz Zespół ds. Bezpieczeństwa Informacji otrzymał plik od analityka bezpieczeństwa, zapoznał się z nim i potwierdził, że jego zawartość pochodzi z MyHeritage i zawiera adresy e-mail oraz zakodowane hasła wszystkich użytkowników, którzy zarejestrowali się w MyHeritage do 26 października 2017 r. Ogłosiliśmy publicznie informację o naruszeniu w ciągu 8 godzin od otrzymania o nim wiadomości.
Z portalu MyHeritage wyciekło ponad 92 miliony haseł. Dowiedziałem się o tym dzięki RODO
Tak rozpoczyna się wiadomość, którą kilka godzin temu otrzymałem na swój adres mailowy. To zasługa obowiązku informacyjnego, który wprowadziło RODO. Administrator danych osobowych ma obowiązek niezwłocznie powiadomić wszystkie osoby, których naruszenie dotyczy. W prosty i jasny sposób użytkownik ma zostać powiadomiony o tym, jaki charakter miało stwierdzone naruszenie oraz jego możliwe konsekwencje. Ponadto administrator musi poinstruować użytkownika o krokach, które ten powinien na skutek incydentu powziąć we własnym zakresie. W moim przypadku chodziło oczywiście o zmianę hasła do konta i włączenie dwuetapowego uwierzytelniania.
Czego zatem się dowiedziałem? Okazało się, że mój adres był jednym z ponad 92 milionów innych adresów, których paczkę odnaleziono na serwerze, który nie należał do serwisu MyHeritage. O tym, w jaki sposób portal dowiedział się o wycieku, wiadomość milczy. Ważne jest jednak, że potwierdzono fakt, że paczka zawiera adresy e-mail i zakodowane hasła ogromnej liczby użytkowników. Stwierdzono ponadto, że na żadnym z kont, które są dotknięte, nie stwierdzono podejrzanej aktywności.
Uważamy, że włamanie jest ograniczone do adresów e-mail użytkowników. Nie mamy powodu przypuszczać, że jakiekolwiek inne systemy MyHeritage zostały naruszone. Przykładowo, informacje o karcie kredytowej od samego początku nie są przechowywane na MyHeritage, lecz tylko u zaufanych, zewnętrznych dostawców usług billingowych (np. BlueSnap, PayPal) z których korzysta MyHeritage. Inne rodzaje poufnych danych, takich jak drzewa genealogiczne i dane DNA, są przechowywane przez MyHeritage w wydzielonych systemach, odseparowanych od tych, które przechowują adresy e-mail, i zawierających dodatkowe warstwy zabezpieczeń. Nie mamy powodu by sądzić, że te systemy zostały naruszone.
W wiadomości ponadto poinformowano mnie, że po wycieku sformowano zespół kryzysowy w firmie i powiadomiono wskazane w RODO organy. Odnośnie kroków, jakie podjęło MyHeritage w celu podniesienia bezpieczeństwa swoich użytkowników, dowiedziałem się, że wszystkie hasła zostały wygaszone. Dzięki temu każdy użytkownik będzie musiał je zmienić, żeby w dalszym ciągu mieć możliwość tworzyć swoje drzewa genealogiczne. Dodano również opcję dwuetapowego logowania.
Bez najmniejszej dawki ironii – dziękuję za to, że wprowadzono RODO. Dzięki temu już na własnej skórze przekonałem się o tym, że te mechanizmy działają. Efekt RODO to nie tylko głupoty, których pełno w naszym internecie.