Wycieki adresów e-mail wynikające z nieużywania pola UDW/BCC przy wysyłaniu wiadomości e-mail do wielu adresatów, choć cały czas się zdarzają, to mam wrażenie, że coraz rzadziej. I tak przedwczoraj w mojej skrzynce wylądował e-mail od Bm.pl (robot finansowy), gdzie oprócz mojego adresu e-mail jest jeszcze 176 adresów e-mail innych osób. Z tym że w tym przypadku „bonusowe” adresy e-mail nie znalazły się w miejscu dla odbiorców, a w… załączniku.

Wyłączenie usługi Saldo Orange z bonusem do Bm.pl

Sam e-mail pewnie bym zignorował, bo dotyczył informacji i wyłączeniu usługi Saldo Orange, z której nawet nie wiedziałem, że korzystam. Zwłaszcza że od wielu lat nawet nie mam numeru w Orange. W każdym razie jakby co to usługa zostanie wyłączona z końcem marca:

Wyłączenie usługi Saldo Orange.

Dzień dobry,

dziękujemy za korzystanie z usługi Salda Orange w bm.pl.

Informujemy, że 31.03.2020 r. usługa zostanie wyłączona.

Zapraszamy do korzystania z pozostałych usług serwisu bm.pl.

W razie jakichkolwiek pytań prosimy o kontakt z Centrum Pomocy Blue Media.

Pozdrawiamy,

Zespół bm.pl

To, co jednak zwróciło moją uwagę, to załącznik, który znalazła się w wiadomości – plik „orange_saldo.csv”, w którym jak się okazało, znajduje się 177 adresów e-mail. Prawdopodobnie użytkowników tej usługi (oczywiście gwiazdki moje ;-)):

Zauważył to też ktoś z Bm.pl – sam, czy „z pomocą” – bo około 5 godzin później na moją skrzynkę trafił kolejny e-mail w tej sprawie:

Ważny komunikat dot. bezpieczeństwa

Dzień dobry,

z przykrością informujemy, że dzisiaj, tj. 25.03.2020r., w wyniku błędu podczas zlecania kampanii mailowej o wyłączeniu usługi salda Orange, Państwa adres mailowy został ujawniony 177 użytkownikom serwisu bm.pl, co stanowi naruszenie ochrony danych osobowych.

Jak to się stało? Popełniliśmy błąd obsługując narzędzie, za pomocą którego realizowaliśmy wysyłkę kampanii mailowej.

Skutkiem błędu może być np. to, że na Państwa skrzynkę mailową trafi więcej spamu. Ktoś może również wykorzystać zdobytą wiedzę o korzystaniu przez Państwa z salda w Orange do ataku phishingowego.

Przykro nam, że w wyniku naszego błędu zostaliście Państwo narażeni na te niedogodności. Jednocześnie zależy nam, żeby zniwelować potencjalne zagrożenie. Dlatego apelujemy o zachowanie jeszcze większej czujności oraz o dokładną analizę wiadomości przychodzących pod kątem ewentualnych zagrożeń.

Bezpieczeństwo danych było i jest dla nas priorytetem, dlatego zapewniamy, że niezwłocznie wprowadzimy dodatkowe mechanizmy zabezpieczające, które ograniczą ryzyko wystąpienia podobnej sytuacji w przyszłości.

Informujemy również, że zgodnie z obowiązującymi przepisami, o naruszeniu zostanie powiadomiony Prezes Urzędu Ochrony Danych Osobowych.

W przypadku jakichkolwiek pytań – prosimy o kontakt.

Pozdrawiamy,
Zespół bm.pl

Tego typu „powiadomienia” to w dużej mierze zasługa RODO, które w pewnym sensie nakłada na przedsiębiorcę, u którego doszło do tego typu naruszenia obowiązek informacyjny. Ale jest też i druga strona medalu, co potwierdziłem u koleżanki, która „miała szczęście” również znaleźć się na tej liście. Gdyby nie drugi e-mail, z informacją o wycieku, to by nawet nie wiedziała, że w wiadomości otrzymanej kilka godzin temu dostała takiego bonusa. Po prostu spojrzała na wiadomość, zainteresowała ją ona jeszcze mniej niż mnie (ja głównie ze względu na załącznik zatrzymałem się na niej, takie zawodowe zboczenie ;-)) i poleciała dalej.

Więc z jednej strony dobrze, że taka informacja została wysłana, ale z drugiej strony – ciekawe ilu użytkowników – odobnie jak moja koleżanka – dopiero po otrzymaniu informacji o incydencie sięgnęło z ciekawości do załącznika z adresami e-mail… ;-)

(!) Zgłoś błąd na stronie