Każdy mógł się pod Ciebie podszyć dzwoniąc do SVB
W ostatnim czasie sporo piszemy o ochronie danych osobowych. Informujemy Państwa o niebezpieczeństwach związanych z ich wyciekiem i sytuacjach, w których holenderskie firmy tracą kontrolę nad danymi swoich klientów lub pracowników. Wycieki danych nie zawsze muszą być jednak spowodowane działaniami hakerów. Okazuje się, iż Bank Ubezpieczeń Społecznych w Holandii (SVB), sam poda dane jeśli ktoś go o to poprosi.
Niderlandzki Organ Ochrony Danych Osobowych (AP), ukarał kilka dni temu Bank Ubezpieczeń Społecznych grzywną w wysokości 150 000 euro. Jak wskazuje AP, Bank ten, będący organem wykonawczym krajowych systemów ubezpieczeń, takich jak AOW, nie przykładał zbyt dużej wagi do tożsamości dzwoniących do niego petentów. To zaś doprowadziło do udostępnień wielu poufnych informacji dotyczących płatników.
Interwencja obywatelska
Sprawa wycieku wyszła na jaw gdy dane jednego z klientów SVB dostały się w ręce osoby, która nie była uprawniona do ich wykorzystania od 2019 roku. Jak odkryto ten wyciek? Zlokalizował go sam poszkodowany, który nagle zorientował się, iż ktoś inny zażądał za pomocą infolinii banku informacji o usługach świadczonych dla poszkodowanego. Ktoś po prostu pod niego się podszył.
Wściekła ofiara nie poprzestała na powiadomieniu SVB o tym incydencie. Sprawa trafiła do prokuratury i zainteresował się nią AP.
Skrajna naiwność?
AP, po analizie działania SVB, stwierdziło, iż Bank robi zdecydowanie zbyt mało, by zmapować, zagrożenia związane z wyłudzeniem danych i skutecznie się im przeciwstawić. Urząd Ochrony Danych Osobowych wskazuje tu, np. na pytania, jakie zadawali pracownicy SVB swoim rozmówcom w celu weryfikacji. Pytania kontrole były na tyle proste, iż odpowiadały na nie bez problemu osoby z zewnątrz. Koronny przykładem są tu choćby zapytania o kod pocztowy miejscowości petenta, czy o jego dokładny adres. Oprócz tego okazało się, iż sam SVB nie sprawdza również w wystarczającym stopniu swoich pracowników, czy przestrzegają polityki kontroli i weryfikacji dzwoniących, co może oznaczać, iż niektórzy nawet nie zadawali tych pytań lub nie zwracali uwagi na ewentualne pomyłki odpowiadających.
Skala problemu
Jak duża jest skala problemu? Przy takich działaniach SVB ofiarami wycieku danych może paść nawet 5 milionów mieszkańców Holandii. Tylu bowiem osobom Bank ten wypłaca świadczenia i kartoteki tylu Holendrów ma w swojej bazie danych.
Działania
Po miażdżącym raporcie AP i karze grzywny, SVB zapowiedział wdrożenie nowych zasad sprawdzania tożsamości dzwoniących. Czy okażą się one skuteczne, przekonamy się w najbliższym czasie.
Źródło: Nu.nl