Wyciek danych u operatora bitomatów. Czym różnią się polskie procedury od amerykańskich?

Kryptowaluty z racji na duży stopień anonimowości bywają wykorzystywane przez cyberprzestępców, choć należy pamiętać o tym, że jest to po prostu cyfrowa waluta. W lutym 2024 r. informowaliśmy o oszukanej 35-latce, która padła ofiarą reklam namawiających do fałszywych inwestycji, przez co straciła 150 tys. złotych.

Zdarzają się również wycieki danych z szemranych ofert inwestycyjnych. W czerwcu br. taki zestaw informacji pojawił się ponownie w sieci. Zdarzenie dotyczyło wówczas także ok. tysiąca mieszkańców Polski. Hasła były przechowywane jako hash MD5, czyli z wykorzystaniem przestarzałego algorytmu, wobec czego łatwo było odwrócić je do pierwotnej postaci.

Tym razem incydent dotyczy podmiotu zarejestrowanego na terenie USA, obsługującego m.in. bitomaty. Sprawa pokazuje różnice między raportowaniem incydentów w Polsce i Stanach Zjednoczonych.

Wyciek danych u operatora bitomatów

10 lipca br. na portalu Cointelegraph opublikowano artykuł dotyczący wycieku danych 27 tys. klientów Bitcoin Depot, podmiotu operującymi bankomatami dla Bitcoinów (tzw. bitomatami). Incydent miał miejsce w połowie 2024 r. i dotyczył „zewnętrznego systemu”.

Co ważne, na stronach stanów Massachusetts oraz Maine opublikowano publiczne zawiadomienia o incydencie. Możemy się z nich dowiedzieć, że naruszenie ochrony dotyczyło (lub może dotyczyć):

• imion i nazwisk;
• numerów telefonów;
• numerów praw jazdy;
• adresów zamieszkania;
• dat urodzenia;
• adresów e-mail.

Złośliwa aktywność została wykryta 23 czerwca ub. r., zaś 18 lipca działania ekspertów z zakresu reagowania na incydenty zostały zakończone. Co ciekawe, nie poinformowano niezwłocznie osób, których dotyczyło zdarzenie.

„Proszę zaczekać” – nie w Polsce

Bitcoin Depot nie przekazało informacji o incydencie ofiarom wycieku danych, ponieważ federalne organy ścigania poprosiły o zaczekanie z takim działaniem do momentu zakończenia śledztwa, które prowadzili w tej sprawie. Jest to nieco szokujące, ponieważ uniemożliwia niezwłoczne podjęcie odpowiedniego działania osobom, których dane zostały wykradzione.

W Polsce organizacje mają 72 godziny na poinformowanie Prezesa UODO o incydencie (art. 33 RODO ) oraz są zobowiązane do zawiadomienia „bez zbędnej zwłoki” osoby, której dotyczy zdarzenie (art. 34 RODO ). Mogą tego uniknąć w przypadku braku zaistnienia wysokiego ryzyka naruszenia praw i wolności, lecz wobec wycieku danych osobowych w formie jawnej (niezaszyfrowanej) taka przesłanka raczej nie może mieć miejsca.

Polskie statystyki

Z raportów dotyczących zgłaszania incydentów możemy dowiedzieć się, że:

• ponad połowa podmiotów zgłaszała incydent w przeciągu 72 godzin, 34% przekroczyło ten czas – TrybAwaryjny.pl;
• 20% badanych organizacji zgłosiło minimum jedno naruszenie ochrony danych do PUODO – Barometr Cyberbezpieczeństwa KPMG 2024.

Mamy również przykład banku, który zgłosił naruszenie ochrony danych prawie 1,5 roku po jego odnotowaniu, ponieważ – według UODO – pierwotnie niepoprawnie określił ryzyko naruszenia praw i wolności. Kara wyniosła ponad 78,5 tys. złotych.

Dokładne amerykańskie statystyki

Z racji na to, że USA to państwo federalne, część kompetencji związanych z incydentami pozostaje w zakresie poszczególnych stanów. Dzięki temu możemy dowiedzieć się, że spośród 26 732 osób, których dotyczy incydent, 11 z nich mieszka na terenie Maine.

Warto przy tym dodać, że informacja o incydencie została opublikowana na oficjalnych stronach dwóch amerykańskich stanów. W naszym kraju to dana organizacja odpowiada za poinformowanie poszczególnych osób lub wydanie publicznego zawiadomienia.

Incydent z przeszłości i wnioski

Cointelegraph opisał przypadek z września 2024 roku, gdzie również miał miejsce wyciek danych wskutek nieautoryzowanego dostępu do systemów zewnętrznego dostawcy. Incydent dotyczył operatora bitomatów, konkretnie jego 58 tys. klientów, w tym 111 mieszkańców Maine.

To dobrze, że polskie organizacje w dużej mierze niezwłocznie powiadamiają o naruszeniach ochrony danych – zarówno poszczególne osoby oraz UODO. Bardzo ciekawy jest akt prawny w stanie Maine, sięgający 2005 roku, który zobowiązuje do podania liczby mieszkańców stanu dotkniętych wyciekiem danych. Podobna regulacja obowiązuje w stanie Massachusetts od 2007 roku.

Taki rejestr jest bardzo ciekawym rozwiązaniem, ponieważ wymaga transparentności w informowaniu o incydentach. Należy przy tym jednocześnie pamiętać, że liczba mieszkańców Maine jest porównywalna z liczbą mieszkańców województwa warmińsko-mazurskiego – stworzenie takiej listy dla całej Polski prawdopodobnie wymagałoby większej ilości zasobów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].