Nezvykneme linkovať bulvár, ale v tomto prípade poukazuje na najklasickejšie zlyhanie oprávnenej osoby. Zamestnanci, ktorí pri svojej práci prichádzajú do styku s osobnými údajmi spravidla vedia, že majú povinnosť mlčanlivosti. Nie všetci si však uvedomujú, že táto mlčanlivosť sa vzťahuje aj na používanie osobných údajov, ktoré je pre súkromné účely mimo práce úplné vylúčené.

Na zlodejov toaletného papiera nasadili v pekingskom Temple of Heaven technológiu rozoznávania tváre. Správcovia tohto miesta zaradeného do Svetového dedičstva organizáciou UNESCO nainštalovali výdajník toaletného papiera, ktorý návštevníka požiada o naskenovanie tváre a až potom mu poskytne presne určené množstvo papiera. Dôvodom boli jeho časté krádeže a spotreba takto klesla o 80%. O zásade primeranosti, ktorá je jedným z pilierov práva na ochranu osobných údajov však pri takomto získavaní dát nemôže byť ani reči.

 

Nepoučiteľná armáda – FAIL

Niektorí prevádzkovatelia sú skutočne nepoučiteľní. Nie je tomu tak dávno čo sa médiami prehnala kauza strateného/objaveného USB kľúča s osobnými údajmi profesionálnych vojakov a príbeh sa znovu opakuje. A tak máme nový USB kľúč (našiel ho náhodný chodec a odovzdal TV JOJ, ktorá ho vrátila armáde, viď včerajšie správy na JOJ-ke) a ďalšie údaje v rukách neoprávnených osôb, pričom podobnosť s predchádzajúcim prípadom nebude vôbec náhodná.

Už minulá kauza mala byť podnetom k úprave podmienok spracúvania osobných údajov u prevádzkovateľa s takto závažným bezpečnostným incidentom. Prvým a nie posledným krokom, ktorý musí nasledovať po takto bezprecendentnom úniku dát je úprava bezpečnostného projektu a zavedenie prísnejších opatrení do praxe. V tomto prípade by bol postačujúce šifrovanie (pričom pôvodne USB kľúče zakázali úplne). Pokiaľ by bol USB kľúč šifrovaný tak by jediným rizikom (nehľadiac na rozšifrovanie) bola strata údajov, ak by neexistovala záložná kópia. Chodec by kľúč otvoril, sformátoval a používal pre svoje potreby. Zneužitie údajov by nehrozilo ani v prípade, že sa nálezca nezachoval takto zodpovedne.

Zdá sa, že ani hrozba pokuty zo strany Úradu na ochranu osobných údajov SR a ani vyšetrovanie Vojenskej polície nepopchlo kompetentných v ozbrojených silách, aby urobili čo mali – prijali opatrenia na zabezpečenie spracúvaných osobných údajov. Dúfajme, že tento nový prípad bude pre to konečne dôvodom.

Ukecaný Facebook alebo nechcená identifikácia v praxi

Informácia o tom, že Facebook o nás môže povedať viac ako by sme chceli, nie je žiadnou novinkou. Koncom minulého roka sa však objavila správička o tom, že to dokáže šokujúcim spôsobom úplne bez vedomia užívateľa.


 

Útočník sa zmocní informácií z profilu užívateľa, ktorý navštívi jeho stránku a zároveň má v inom tabe (karte) internetového prehliadača otvorený Facebook, do ktorého je prihlásený alebo dokonca nemá ani otvorený Facebook, len sa predtým neodhlásil.

Bloger, ktorý tieto informácie zverejnil sám hovorí, že nejde o CSRF, ale navrhuje pre svoju metódu názov Cross-Site Identification (CSID), teda čosi ako „Krížová identifikácia medzi internetovými stránkami“. Prevádzkovateľ stránky, ktorá použije metódu CSID na svojich užívateľov tak získa možnosť urobiť z anonymných súrferov konkrétnych ľudí. Vedomosť o identite návštevníka webu má potom široké využitie a možnosti zneužitia sú až hrozivo rozsiahle.

FAIL: Privacy Conference 2009

Tohtoročná medzinárodná Privacy Conference bola zaujímavá nielen jednotlivými prednáškami a účastníkmi, ale aj ukážkou rozličného prístupu k ochrane osobných údajov (konkrétne k nakladaniu s dokladmi ako sú ID, pasy či kreditky). Pri pokuse získať headset pre účely tlmočenia (okrem angličtiny sa rečníci neštítili použiť domácu španielčinu, ale ani nemčinu či francúžštinu) potešila slečinka žiadateľa odpoveďou „Passport or credit card pls“.

 

 

 

 

 

 

Všetky pasy a kreditky sa potom ocitli v jednom kufri na miestach odkiaľ boli vybrané headsety a pri ich vrátení si potom majitelia hľadali ten svoj pas, iné ID či kreditku.

 

 

 

 

 

Na Slovensku by bolo takéto počínanie ohodnotiteľné aj vysokou finančnou sankciou.

Nórsky poprask s rodnými číslami

Nórska administratíva si zamiesila na problém. Daňováci podľa iDNES.sk poskytli omylom rodné čísla 3.9 milióna Nórov médiám.

U nás by to šlo ohodnotiť ako neoprávnené poskytnutie alebo neoprávnené sprístupnenie osobných údajov pričom ide o tzv. citlivé údaje. A problém by bol u nás väčší lebo nórske médiá majú teraz k dispozícii aj daňové priznania, ktoré na Slovensku nie sú prístupné verejnosti.