Sadade klientide andmed rippusid küberrünnaku tagajärjel avalikult ettevõtte kodulehel

 (1)
Lisatud andmekaitse inspektsiooni kommentaar.
Sadade klientide andmed rippusid küberrünnaku tagajärjel avalikult ettevõtte kodulehel
Värvifoorumi kodulehel olid näha sajad meiliaadressid.Kuvatõmmis Värvifoorumi lehelt.

Autovärve müüva Värvifoorum OÜ kodulehel sai veel täna hommikul näha 300 kliendi meiliaadresse. Ärilehe tähelepanu juhtimise peale võttis ettevõte kontaktid maha ning saatis kõigile klientidele ka selgituse juhtunu kohta.

Värvifoorum OÜ tegevjuht Holger Krause selgitas, et koduleht langes paar nädalat tagasi rünnaku alla. Suurt kahju kaaperdamisest ei sündinud ning leht saadi kiiresti oma valdusesse tagasi. „Tegime viirusetõrjed, paroolivahetused, kõik ära,“ ütles Krause. Paraku jäi klientide meiliaadresse koondav nimekiri parooli alt välja ning Google'i otsingumootor leidis selle üles.

Pärast seda kui Ärileht oli ettevõtte tähelepanu olukorrale juhtinud, tegi Värvifoorum juhtunu kohta andmekaitse inspektsiooni rikkumisteate.

"Kui kliendilt küsitakse tema e-maili isikutuvastamiseks või omavahelise suhtluse võimaldamiseks, ei tohi selline info olla avalikult kättesaadav," selgitas andmekaitseinspektsiooni kommunikatsioonijuht Signe Heiberg. "Kui e-mailid sisaldavad inimese nime, siis tegemist on isikuandmetega, mida peab kaitsma ning töötlema andmekaitsenõudeid arvestades".

"Kuigi kõik andmelekked ei tähenda seda, et privaatinfo on jõudnud inimesteni, kes oskavad ja tahavad sellega midagi lubamatut teha, ei saa kunagi olla kindel, et keegi andmeid enda huvides ära ei kasuta," jätkas Heiberg.

Taoliste rikkumiste avastamisel tuleb andmed kohe kättesaamatuks teha. Juhul, kui rikkumise tagajärg võib seada suurde ohtu inimeste edasise privaatsuse, tuleb neid sellest kiiresti teavitada.

Kui lisaks meiliaadressitele on lekkinud ka klientide paroolid, tuleb inimestele öelda, et nad mujal keskkondades enam sama parooli ei kasutaks.

Andmekaitse inspektsiooni kommunikatsioonijuhi Signe Heinbergi sõnul ei ole sellised intsidendid tavaliselt, kuid aeg-ajalt tuleb neid ikka ette. "Paljud eksimused juhtuvad hooletusest ja teadmatusest," tõdes ta.

Näiteks on olnud inspektsiooni menetluses juhtum, kus avalikuks tulid 10 000 matemaatikaülesannete tegija kasutajakonto andmed. Inspektsioon tegi ettepaneku see esmalt isikute privaatsuse kaitseks kiiresti sulgeda, mida andmetöötleja tegi. Alustatud järelevalvemenetluse käigus selgus, et tegemist oli äärmiselt ebaturvalise andmetöötlusega. Näiteks sai kontot luua suvalise aadressiga ja konto loomise paroolid edastati lahtise e- mailiga. Veebilehel avaldatud andmetele pääsesid ligi kõrvalised isikud, kes said vaadata laste isikuandmeid ja võistlustulemusi.