Cyberbezpieczeństwo
Wyciek danych z PE. "Platforma nadal nie oferuje uwierzytelniania wieloskładnikowego"
„Aplikacja została w pełni zabezpieczona i jest otwarta dla użytkowników” – przekazała redakcji CyberDefence24.pl rzecznika prasowa Parlamentu Europejskiego w sprawie platformy PEOPLE, z której wyciekły tysiące danych. Czy rzeczywiście tak jest?
Wyciek z platformy rekrutacyjnej Parlamentu Europejskiego PEOPLE dotknął ponad 8 tys. obecnych i byłych pracowników. Wypłynęły dowody osobiste, paszporty, wyciągi z rejestru karnego, dokumenty pobytu, dyplomy z uczelni, a nawet poufne dane, takie jak akty małżeństwa, które ujawniają orientację seksualną. O sprawie informowaliśmy w CyberDefence24.pl.
Poprosiliśmy Parlament Europejski oraz Europejskiego Inspektora Ochrony Danych (EDPS) o komentarz dotyczący wycieku danych. Próbowaliśmy ustalić, czy naruszenie objęło obywateli Polski. Nie otrzymaliśmy jednak odpowiedzi na to pytanie.
Czytaj też
Parlament Europejski: stale monitorujemy cyberbezpieczeństwo
W związku z incydentem organizacja noyb złożyła dwie skargi do EDPS. NGO-s zarzuca PE złamanie przepisów RODO, dotyczących retencji i przetwarzania danych osobowych. Noyb jest też zdania, że Parlament od dawna jest świadomy luk cyberbezpieczeństwa, ale niewiele z tym robi. Ataki na instytucje europejskie powtarzają się bowiem regularnie i niestety bywają skuteczne.
„Służby Parlamentu Europejskiego stale monitorują bezpieczeństwo i cyberbezpieczeństwo, zagrożenia hybrydowe i zagrożenia związane z dezinformacją, a także potencjalne cyberataki na środowisko pracy i szybko wdrażają niezbędne środki, aby im zapobiegać” – zapewnia tymczasem rzeczniczka prasowa PE Mireia Aguilar Pardo w rozmowie z naszą redakcją.
Czytaj też
Parlament Europejski o przyczynach wycieku
W przesłanym nam komentarzu Pardo podkreśliła, że do naruszenia danych doszło w związku z „zagrożeniami hybrydowymi”, na kilka miesięcy przed eurowyborami, czyli na początku 2024 roku. Wskazano też przyczynę wycieku – lukę w zabezpieczeniach. Nie sprecyzowano jednak, na czym ona polegała.
„Aplikacja została zawieszona i naprawiona przez służby Parlamentu natychmiast po zidentyfikowaniu podatności. Obecnie jest w pełni zabezpieczona i dostępna dla użytkowników” – przekazała nam rzeczniczka.
Czytaj też
Reakcja wobec osób dotkniętych wyciekiem
Pardo zapewnia też, że PE odpowiednio zachował się wobec osób, których dotyczył incydent.
Zgodnie z wymogami Parlament natychmiast po wykryciu zwrócił się do Europejskiego Inspektora Ochrony Danych (EIOD) w celu powiadomienia o potencjalnych zagrożeniach związanych z naruszeniem. Zgodnie z obowiązkiem zachowania szczególnej ostrożności Parlament, w ścisłej współpracy z EIOD, należycie powiadomił wszystkich aktywnych lub byłych użytkowników potencjalnie dotkniętych naruszeniem danych. Otrzymali oni także zestaw zaleceń i kontakt, do którego mogą zwracać się z konkretnymi pytaniami.
Mireia Aguilar Pardo, rzeczniczka prasowa Parlamentu Europejskiego dla redakcji CyberDefence24.pl
Innego zdania jest Noyb. Organizacja złożyła do EDPS dwie skargi w imieniu czterech pokrzywdzonych osób. „W przypadku jednego skarżącego Parlament odrzucił wniosek o usunięcie danych, złożony po naruszeniu, powołując się na 10-letni okres przechowywania, pomimo obaw skarżącego wynikających z wycieku i faktu, że nie pracował on tam od kilku lat” – pisze noyb na swojej stronie internetowej. Według organizacji tak długi okres przechowywania danych osobowych jest sprzeczny z RODO.
Czytaj też
Europejski Inspektor Ochrony Danych o platformie PEOPLE
Biuro prasowe EDPS nie chciało komentować skarg złożonych przez Noyb. „Nigdy tego nie robimy w przypadku konkretnych skarg” – przekazał redakcji CyberDefence24.pl Olivier Rossignol, odpowiedzialny za komunikację.
Potwierdził natomiast, że Parlament Europejski wysłał szereg komunikatów do osób, których dotyczył wyciek, a także zaoferował im pokrycie kosztów wyrobienia nowego paszportu, co zostało zalecone jako środek ostrożności. „Parlament przesłał także powiadomienia pocztą w przypadkach, gdy e-mail nie zadziałał” – przekazał Rossignol.
„Platforma PEOPLE została niedawno wzmocniona i ponownie uruchomiona, jednak nadal nie oferuje uwierzytelniania wieloskładnikowego” – podkreślił pracownik EDPS w rozmowie z nami.
Słowa te stawiają pod znakiem zapytania zapewnienia PE, że aplikacja jest obecnie odpowiednio zabezpieczona przed kolejnym wyciekiem.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].