Únik dat zákazníků: Mall.cz může kvůli hackerům dostat pokutu několik milionů
Únik citlivých dat po útoku hackerů
Společnosti Mall.cz, která po hackerském útoku přišla až o 750 000 údajů o svých zákaznících, hrozí pokuta až ve výši 10 milionů korun. Únik e-mailových adres totiž může Úřad pro ochranu osobních údajů vyhodnotit jako porušení zákona o ochraně osobních údajů. V minulosti byla potrestána společnost T-Mobile za podobný únik. Tehdy telekomunikační firma dostala pokutu 3,6 milionu korun.
Internetovému obchodu Mall.cz odcizili hackeři údaje až ze 750 000 uživatelských účtů. Problém se týkal zejména starších účtů, které byly zaregistrovány v roce 2014. Poškozená databáze byla zakódovaná již nepoužívaným způsobem, který umožnil útočníkovi snazší prolomení hesla.
V Týdeníku Echo a na EchoPrime se dozvíte více, získáte je zde.
Mluvčí Úřadu pro ochranu osobních údajů potvrdil, že společnost za své nedostatečné zabezpečení může dostat vysokou pokutu. „Obecně lze říci, že ÚOOÚ může takový únik po řádné kontrole či jiném řízení vyhodnotit jako porušení zákona č. 101/2000 Sb., a to se všemi důsledky, které z toho plynou. Tedy včetně přijetí případných opatření k nápravě či pokuty za přestupek, jejíž horní hranice zde může dosáhnout až 10 milionů korun,“ uvedl pro Echo24 mluvčí úřadu Vojtěch Marcín.
Čtěte také: ÚOOÚ udělil T-Mobile pokutu 3,6 mil. kvůli krádeži údajů klientů
V minulosti byla takto potrestána společnost T-Mobile pokutou ve výši 3,6 milionu korun. Úřad v dubnu loňského roku rozhodl, že operátor dostatečně nezabezpečil data svých klientů. Tehdy byl hackerem zaměstnanec společnosti, který byl později propuštěn. Údaje obsahovaly vedle jmen i třeba datum narození, adresu nebo telefonní čísla, údaje o tarifech, průměrných útratách a značkách zařízení i čísla účtů.
Úřad pro ochranu osobních údajů pak poškozeným uživatelům radí, ať se jak na úřad, tak na společnost obrátí. „Dotčení zákazníci se mohou obrátit jak na správce osobních údajů (Mall.cz) s požadavkem na vysvětlení, tak i na ÚOOÚ s podnětem k prošetření,“ řekl pro Echo24 mluvčí Vojtěch Marcín.
Společnost Mall.cz používá v současné době při platbě kartou bezpečnostní protokol 3-D Secure. To má snížit riziko reklamací platební transakce pouze zejména ze strany uživatele. Při platbě tak zákazník dostane několikamístný kód, v podobě sms zprávy. Po vyplnění zmíněného hesla poté transakce proběhne. Společnost také zaručuje na svých internetových stránkách, že platební údaje neuchovává. „Veškeré údaje o platbách jsou předávány zabezpečenou cestou a Internet Mall, a.s. jako obchodník k nim nemá přístup, ani je nikde neukládá,“ píše firma na svých stránkách.
Úniky citlivých dat
Problém s únikem dat z velkých společností není ničím výjimečným. V minulosti se s podobným problémem musely vypořádat společnosti, mezi které patří například Twitter, Comcast, Touchnote, ale i zpravodajská agentura FBI. Nejčastěji se mezi ukradenými informacemi dá nalézt jméno, příjmení, datum narození, e-mailová adresa, hash hesla, fyzická adresa či telefonní čísla.
V době sociálních sítí se může jednat o ještě větší problém. Spousta uživatelů používá stejná hesla i e-mailové adresy k registraci na sociálních sítích. Ukrást se tak dají i soukromá data uveřejněná například na Facebooku nebo Twitteru. I při nevyplnění například telefonního čísla v objednávce internetového obchodu postačí, aby zákazník měl údaj i třeba skrytý na svém profilu na zmíněné sociální síti a hacker si tak mohl dohledat osobní údaje. Pokud zákazník podniká, může tím získat i skutečnou adresu.
Nutnost zakládat si účet při nákupu kritizuje například manažer projektu ECDL Jiří Chábera, který se zabývá zvyšováním digitální gramotnosti na trhu práce, ve školství a státní správě. „Pokud nenakupujeme na konkrétním e-shopu často, není vůbec nutné zakládat osobní účet. A pokud ano, pak většinou není nutné uvádět ani mobilní telefon, ani další citlivé údaje. Jedině tak lze toto riziko snížit na minimum,“ řekl Jiří Chábera.
Pokud zákazník nakupuje na internetu, měl by s případným únikem informací počítat. „Že mohou být odcizeny, by měl každý digitálně gramotný občan při nákupu na internetu počítat. Vyhnout se tomu riziku nelze a nezabrání mu ani zákon na ochranu osobních údajů,“ řekl manažer projektu ECDL Jiří Chábera.
Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).