Hlavní navigace

Zaměstnanec T-Mobilu ukradl data o zákaznících [AKTUALIZOVÁNO]

 Autor: Jan Sedlák
David Slížek 13. 6. 2016

Osobní údaje až 1,5 milionu zákazníků se pokusil zpeněžit dnes už bývalý zaměstnanec telekomunikačního operátora T-Mobile. Případ vyšetřuje policie.

  • 12:30 – text jsme rozšířili o informace z tiskové zprávy T-Mobilu
  • 13:30 – do textu doplněny odpovědi na dotazy Lupy
  • 18:15 – doplněno vyjádření ÚOOÚ

O známé pravdě, že nejslabším článkem v zabezpečení dat bývá lidský faktor, se přesvědčil český T-Mobile. Zaměstnanec firmy před několika měsíci zkopíroval a pokoušel se prodat osobní údaje stovek tisíc klientů, zjistila MF DNES.

Únik deníku potvrdila i mluvčí operátora Martina Kemrová s tím, že nemůže prozradit žádné podrobnosti. Podle informací MF DNES ale mělo jít o data asi 1,5 milionu klientů (T-Mobile počet odmítá – s odvoláním na policejní vyšetřování – potvrdit). Podle Kemrové nešlo o citlivé údaje, ale „jen“ o fakturační kontaktní informace – tedy jména, adresy a čísla bankovních účtů.

„Charakter odcizené databáze byl čistě marketingový, nešlo o data lokalizační či provozní, ani o citlivé údaje typu hesel. Jediné nebezpečí, které by hypoteticky mohlo našim zákazníkům hrozit, je případně oslovení nevyžádanými marketingovými nabídkami,“ upřesnila pouze mluvčí T-Mobilu. Podle ní také firma získala nosiče, na kterých měl dotyčný data uložena.

Operátor zaměstnance po odhalení propustil a případ předal policii. Mluvčí tvrdí, že firma pokus o zkopírování dat odchytila v samém počátku, takže nikomu nevznikla žádná škoda. „Zatím nemáme sebemenší indikaci, že by data unikla,“ říká mluvčí. Jinými slovy: neznamená to, že data neunikla, ale jen, že o tom T-Mobile nemusí vědět.

Pomohl obchodní partner

Za krádeží údajů podle T-Mobilu stojí zaměstnanec, který s nimi běžně pracoval. „Zaměstnanec s daty pracoval po celou dobu, byla to náplň jeho práce. Stahování dat na jeho PC nebylo ničím nestandardním,“ sdělila mluvčí na dotaz Lupy. 

„Šlo o člena malého týmu, který se zákaznickými daty běžně pracoval. Ihned se zjištěním podezření na trestnou činnost jsme podnikli všechny nutné kroky a součinnost Policií České republiky. Zaměstnanci byl bez prodlení zrušen pracovní poměr a bylo zahájeno vyšetřování orgánů činných v trestním řízení. Právě v souvislosti s ním bohužel nejsme oprávněni poskytovat žádné konkrétní informace,“ doplnila.

Podle MFD dotyčný zaměstnanec data úspěšně „zazálohoval“ a dokonce se je pokoušel prodat. Prozradit jej měla až jedna z firem, které údaje nabídl. Lupě to potvrdila i mluvčí Martina Kemrová: „Případ se podařilo odhalit díky spolupráci s obchodním partnerem, který nás informoval, že mu někdo nabízí k odkoupení databázi. Prošetřili jsme, zda jde o reálná data, a po zjištění že ano, jsme informovali Policii ČR,“ řekla.

Z uvedených informací to vypadá, že T-Mobile na únik skutečně přišel jen díky informaci od externí firmy. Kdyby tato společnost mlčela, nemusel by se operátor o prodeji databáze vůbec dozvědět.

Žádná souvislost s výpadkem

K úniku mělo podle MFD dojít už v dubnu, operátor ale o incidentu veřejně neinformoval – zřejmě z obavy, že by to poškodilo jeho pověst. T-Mobile také popírá, že by únik dat byl nějakým způsobem spojen s výpadkem sítě 19. dubna, jak spekulovala MFD. 

„Tyto dva incidenty spolu nikterak nesouvisí, z technologického pohledu je taková spojitost naprosto vyloučena,“ potvrdila mluvčí.

„Chci zákazníky ujistit, že reálně k úniku dat nedošlo a že data našich zákazníků jsou v bezpečí,“ ujišťuje i generální ředitel firmy Milan Vašina. „Přestože jsme při důkladné kontrole celého systém neshledali systémové pochybení, znovu systém přezkoumáme a zvážíme případné zavedení dalších preventivních opatření,“ dodává. 

Nikdo nic nenahlásil

Incidentem se podle informací Lupy už začal zabývat Úřad pro ochranu osobních údajů (ÚOOÚ). „V návaznosti na všechny informace, které Úřad zjistí a vyhodnotí, bude možné rozhodnout, jakým způsobem budou eventuálně probíhat navazující kontrolní a správní procesy. V případě porušení zákona o ochraně osobních údajů může Úřad pro ochranu osobních údajů uložit právnické osobě pokutu až 10 milionů Kč,“ připomíná jeho mluvčí David Pavlát

A na jeden problém už má T-Mobile zřejmě zaděláno – podle Pavláta se totiž ÚOOÚ o úniku nedozvěděl od operátora, ale až z médií.

Podle platných zákonů přitom musí firma narušení bezpečnosti zpracování osobních dat „bez zbytečného odkladu“ nahlásit ÚOOÚ sama. To ale operátor zatím neudělal. „Dosud nebylo Úřadu pro ochranu osobních údajů oznámeno,“ potvrdil Lupě Pavlát.

Podle nového nařízení EU o ochraně osobních údajů (GDPR, platit začne od jara 2018) budou firmy muset incidenty s daty hlásit nejpozději do 72 hodin. 

Našli jste v článku chybu?

13. 6. 2016 14:55

Karel (neregistrovaný)

To není univerzální pravda. Na data máte několik požadavků:
- zajistit, že jsou dostupná (data availability)
- zajistit, že jsou v pořádku (data integrity)
- zajistit, že nejsou podvržená (data accountability)
- zajistit, že k nim má přístup jen ten, kdo ten přístup mít má (data security)

Vždy se provádí audit a zvažují se jednotlivé požadavky. Ta poslední kategorie je obvykle ta nejméně důležitá. Škody způsobené tím, že si data přečte někdo, kdo nemá, jsou až na výjimky mnohem menší, než škody…





13. 6. 2016 11:39

Ivan Nový (neregistrovaný)

Bezpečné systémy existují jen v hlavách jednodušších lidí.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá