Názory k článku
Bulánkům unikla databáze s klíči pro Steam, ÚOOÚ už o tom ví [AKTUALIZOVÁNO]

Vidím tam nesrovnalost, že přes ten obrázek je svislý ruh

Co mi chodí na zbytečný email je mi jedno, protože ho nečtu:) A pokud úplně zbytečný není a chtěl bych dostávat notifikace z lupy, tak budu přijímat zprávy jen z lupy a zbytek půjde do spamu a je mi jedno, zda se to tváří jako seznamka, paypal, netflix nebo nigerijský princ.

Aha. Když vám prozradím, že se jmenuju Tomáš Volný a když vám prozradím že mám adresu tomas@volny.cz. Čím mě dokážete jednoznačně identifikovat? Podle čeho mě zvládnete s větší pravděpodobností dohledat nebo nějak obtěžovat? Malá nápověda: zkuste třeba na facebooku vyhledat, kolik je tam lidí s takovým jménem... A pak mi můžete prozradit ten váš úplně zbytečný mail a hádejte, co všechno vám na něj začne chodit a jak moc pohodlně se vám bude používat. Nemluvě o možnosti se znalostí adresu zkusit hádat heslo a adresu odcizit a tím tedy přístup na všechny navázané registrace na různých službách s možností pouhým zasláním na mail změnit heslo...

Jak náhodně vygenerovat?

Pokud to myslíte tak, že si ho může vygenerovat útočník, tak to je samozřejmě nesmysl. Přijít náhodným generováním na aktivní e-mailovou schránku je naprosto zcestná představa. Potenciálních kombinací povolených znaků v názvu účtu a také v názvu domény je tolik, že trefit se je pravděpodobné asi jako u sportky.

Pokud to myslíte tak, že si člověk může vytvořit nahodile jinou schránku, tak to je taky blbost. Např. v zaměstnání dostáváte schránku přidělenou podle daných pravidel. A taky měnit adresu při každém jejím zneužití je zcela nerealizovatelné už jen kvůli potřebě přeregistrovat všechny na ni vázané služby.

Tak jako tak blábolíte nesmysly.

Jméno a příjmení, používám různé emailové adresy pro různé služby. Ale jméno a příjmení mám různé jen tam, kam neposílám peníze.

Termín "veřejné zveřejnění" je blbost. Ušlý zisk je u klíčů, které jdou zablokovat, taky blbost.

22. 11. 2022, 11:51 editováno autorem komentáře

E-mail je přitom ale poměrně zásadní osobní údaj.
Co vám bude vadit víc, když se v kontextu uživatelské databáze freewarové hry někde veřejně objeví vaše jméno a příjmení, nebo e-mail? Co myslíte, že má potenciál napáchat více škody...?

E-mail jim unikl to je věc co si člověk může náhodně vygenerovat, tuhle posedlost "osobními údaji" fakt nechápu.

Porušení GDPR dle článku 32 "Zabezpečení zpracování" samozřejmě řeší dozorový úřad tedy ÚOOÚ a ten může rozhodnout o tom, zda byly údaje zabezpečeny: "S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku ..."

ÚOOÚ se tím zabývá zpravidla na podnět médií nebo osob jejichž data unikla. V tomto případě se může rozhodnout k vyšetřování na podnět médií.

Otázka, zda toto je na nějakou výchovnou menší pokutu? Podle mne ano, protože provádění vývoje na produkčních datech rozhodně není doporučená praxe. Jediný možný argument je, že nemají testovací prostředí z finančních důvodů a jinak to tedy zkrátka nešlo realizovat. Ale to by museli podpořit dobrým argumentem s ohledem na cenu toho testovacího prostředí, a tam myslím že neuspějí. Zaslouží si to alespoň demonstrativní pokutu, aby něco podobného ostatní nedělali.

Takze firma si neplni zakonne povinnosti ale budeme trestat cloveka ktery na to upozorni? V tomhle pripade si zaslouzi pruser obe strany, firma za nezabezpeceni osobnich udaju, typek za to ze je pred zverejnenim treba nezacernil.

Prej se stala chyba a jede se dal.

Ta zóna je taková poloveřejná, měli do ní přístup všichni přispěvatelé z kampaně na Startovači, takže byla za loginem, ten však měli tisíce lidí. Já přeju bídu hlavně tomu, co to z té zóny vytáhl ven.

Máte pravdu. Přečetl jsem si oficiální "twít", kde následně sami píší o GDPR a oznamovací povinnosti ÚOOÚ.

Pokud neni hloupy tak bude tvrdit ze mel hacknuty pocitac a ze niec o tom nevi.

GDPR jim uklada povinnost hlasit tenhle incident. Pokud to neudelaji oni, udela to clovek ktery ty data zverejnil. Nebo kdokoliv jiny.

Btw kdo by tu pokutu za porušení GDPR vymáhal? Že se veřejně přiznali z úniku citlivých dat, kdo se tím bude kvůli GDPR nyní zabývat? Bude to vůbec někdo řešit?

20. 11. 2022, 10:20 editováno autorem komentáře

Nebo se o zveřejnění postará anonymně. ;) Tady ale asi bylo jasné, kdo data přečetl a následně vynesl, když šlo o nějakou neveřejnou zónu (netuším, jak tomu rozumět)

No, pan Hex Open Data bude mít trochu problém. Tady se k tomu přiznal, on ty data vynesl na veřejnost. Takže z toho co jsem už četl dřív, Sleep Team zaplatí pokutu za ochranu osobních údajů a Hex Open Data bude obžalován za veřejné zveřejnění, zaplatí pokutu a ještě možná bude muset uhradit ušlej zisk za ty zveřejněné klíče.
On se pán poučí, že na chybu se upozorňuje tak, že se kontaktuje autor a ne tak, že se to zveřejní. Tim tak max naštve ostatní lidi.

Treba se firma pouci ze DEV na produkci mit pristup nemaji mit, zaplati nejakou smesnou pokutu pro poruseni GDPR a zivot jde dal.