TEHNOLOGIE

Nemo Express si bresa de securitate din sistemul informatic

AWB-urile clientilor Nemo Express disponibile online

Nemo Express, una din cele mai vechi companii de curierat din Romania, cu afaceri de peste 120 milioane de LEI, a fost identificata cu o bresa majora de securitare !

Mai exact este vorba de AWB-urile clientilor, care puteau fi gasite necriptate pe site-ul companiei. Ce inseamna asta ? Ei bine, pe scurt, o mare parte din datele clientilor ( numar de telefon, adresa, ce au comandat si cand iar uneori chiar si CNP-ul ) care au facut comenzi online pe diverse site-uri din Romania, puteau fi gasite direct pe site-ul companiei, daca stiai unde sa te uiti.

Bresa de securitate

Un aspect important il reprezinta perioada de cand aceasta bresa exista in sistemul celor de la Nemo Express. Un specialist IT care a investigat aceasta problema spune:

“Am gasit AWB-uri atat de luna aceasta, cat si inca din aprilie – probabil sunt toate comenzile procesate si livrate prin NEMO Express intr-un anumit interval de timp. Ce e surprinzator este ca toate aceste informatii sunt publice – adica oricine poate accesa URL-urile respective, fara parola, fara username – nu exista niciun fel de criptare sau masura de securitate.”

La aceste afirmatii, oficialii NEMO Express au declarat ca s-a verificat daca exista scurgeri de informatii ce pot fi supuse analizei de securitate a datelor, constatandu-se sub acest aspect inexistenta unei vulnerabilitati cunoscute.

nemo express

Dupa cum se poate observa in imaginea de mai sus, numele, adresa, numarul de telefon iar in anumite cazuri chiar si comanda in sine sunt la indemana oricui.

nemo express

In imaginea prezentata mai sus sunt doar cateva din AWB-urile dintr-o singura zi de activitate a companiei NEMO Express. Acestea sunt publicate pe site-ul companiei in format .JPG si pot fi accesate de oricine fara a avea nevoie de username sau parola.

Pe piata din Romania sunt cateva firme mari de curierat si foarte putine au actionari romani. Nemo Express are peste 360 de angajati si este una din ultimile companii de curierat care are actionari romani. O alta firma de curierat care are actionariat romanesc este FAN Courier in timp ce DPD, Urgent Cargus sau DHL au actionariat strain.

Intreband un avocat despre situatia intalnita la Nemo Express, acesta a avut urmatoarea opinie:

“In cazul de fata vorbim, pe de o parte, de date personale – nume, prenume, adresa de domiciliu, adresa de livrare, care sunt protejate de GDPR, dar si de informatii care pot fi considerate in anumite conditii ca fiind secrete comerciale, mai ales ca poti vedea expeditorul, destinatarul, precum si continutul trimiterii (acolo unde a fost indicat).

Nemo Express, in calitate de operator, are obligatia de a lua masuri care sa asigure confidentialitatea si securitatea prelucrarii acestor date, conform art. 32 alin. (1) GDPR, prin raportare la stadiul tehnologic. Mai mult, unul din principiile fundamentale ale GDPR este cel al ”integritatii si confidentialitatii”, regasit in art. 5 alin. (1) lit. f) – datele personale trebuie sa fie ”prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).

Faptul ca pe link-uri publice, accesibile oricarei persoane din exterior, se pot vedea AWB-urile scanate, cu toate detaliile, fara a fi anonimizate sau confidentiale reprezinta o bresa de securitate.

Potrivit legislatiei nationale si europene, pentru nerespectarea sau implementarea defectuoasa a unor masuri de securitate, operatorul risca o amenda de 10 mil euro sau 2% din cifra de afaceri, in functie de care valoare este mai mare.

Daca se va ajunge aici, pentru a stabili cuantumul sanctiunii, vor fi avute in vedere urmatoarele circumstante:

(a) natura, gravitatea si durata incalcarii, tinandu-se seama de natura, domeniul de aplicare sau scopul prelucrarii in cauza, precum si de numarul persoanelor vizate afectate si de nivelul prejudiciilor suferite de acestea;

In cazul de fata vorbim de mii de persoane afectate, la nivel national, ale caror date personale sunt accesibile prin intermediul unor link-uri unde doar schimbi adresa url-ului.

De asemenea, va trebui analizat (a) de cand sunt aceste date publice, (b) daca sunt niste ramasite sau practic se actualizeaza in timp real, (c) prejudiciile suferite de persoanele vizate.

(b) daca incalcarea a fost comisa intentionat sau din neglijenta;Advertisement

(c) orice actiuni intreprinse de operator sau de persoana imputernicita de operator pentru a reduce prejudiciul suferit de persoana vizata; – daca ne uitam la cazul Equifax din SUA, acestia au implementat inclusiv un fond destinat despagubirii persoanelor vizate afectate de divulgarea a peste 147 milioane de date personale.

(d) gradul de responsabilitate al operatorului tinandu-se seama de masurile tehnice si organizatorice implementate de acesta; – acest lucru se va analiza punctual, insa implementarea unor masuri care sa nu lase macar link-urile disponibil publice accesibile oricarei persoane ar fi trebuit adresata inca de la inceput, mai ales in conditiile obiectului de activitate – pana la urma Nemo Express isi concentreaza activitatea in jurul acestor AWB-uri pentru a-si duce la indeplinire sarcinile de livrare. Insa daca ne uitam la nota de informare de pe site-ul celor de la Nemo Expres, la politica de confidentialitate, vedem ca aceasta este inca facuta in baza Legi nr. 677/2001, care are aproape un an de cand nu mai este in vigoare, de cand a devenit GDPR aplicabil.

(e) eventualele incalcari anterioare relevante comise de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia incalcarea si a atenua posibilele efecte negative ale incalcarii;

(g) categoriile de date cu caracter personal afectate de incalcare; –intr-adevar, nu vorbim de date cu caracter sensibil, precum CNP sau date medicale, insa avem publice numele, prenumele, telefonul, adresa de livrare/domiciliu. Practic, in acest moment, daca cineva ar vrea sa afle despre o persoana unde sta in mod concret, o poate face doar uitandu-se la acest AWB.

(h)modul in care incalcarea a fost adusa la cunostinta autoritatii de supraveghere, in special daca si in ce masura operatorul sau persoana imputernicita de operator a notificat incalcarea;

O asemenea bresa de securitate merge chiar mai departe de GDPR. Ganditi-va ca asa poti afla furnizorii unei companii si preturile la care vand acestia marfa (pentru ca au posibilitatea de plata ramburs) sau ca sunt informatii personale, despre care persoanele nu ar fi vrut sa se afle vreodata (cum ar fi medicamente pentru anumite afectiuni, care sunt trecute la rubrica de observatii). Prejudiciul intr-un asemenea caz va trebui analizat pe fiecare situatie concreta in parte.

Pe langa sanctiunea propriu-zisa aplicata eventual de autoritate, Nemo Expres ar trebui sa fie atent si la:

(a) actiuni din partea clientilor, persoane fizice sau juridice, care pot cere despagubiri pentru incalcarea obligatiilor de confidentialitate, pe langa obligatiile prevazute de GDPR (pentru ca eu, in calitate de client, cand apelez la tine, am siguranta ca informatiile privind acele actiuni nu vor deveni publice);

(b) actiuni din partea destinatarilor livrarilor respective, pentru nerespectarea GDPR prin permiterea divulgarii neautorizate la date personale.

Ce trebuie sa retinem de aici este ca GDPR nu este un bau-bau. Datele noastre au fost expuse cu mult inaintea aparitiei lui – insa acum suntem mai constienti de acest fenomen – aproape saptamanal avem cate o companie de renume amendata. Ceea ce va duce la constientizarea importantei datelor personale in randul celor care le detin, sa nu le mai dam peste tot si sa nu le mai lasam expuse. Cum e in cazul de fata – nu cred ca ii convine cuiva ca adresa lui de domiciliu sa fie publica. Sau sa stie si alte persoane ce si cum.

Sfatul meu pentru companii este sa isi rupa o bucatica din timp si sa inceapa sa lucreze la conformitate – pentru ca nu se face de pe o zi pe alta, ci este un proces de durata, in timp. Fiecare actiune pe care o faci trebuie sa fie documentata, proiectata si structurata de o asemenea maniera incat sa respecte principiile protectiei datelor personale”

Tags

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Close

Adblock Detected

Please consider supporting us by disabling your ad blocker