Odličan primjer nam dolazi iz Danske, gdje je nadzorno tijelo oštro kaznilo avio-kompaniju s iznosom iz naslova ovog posta.
Međutim, šokantno je čitati o kakvim se "jefintim" propustima radilo kao uzrocima ovakve kazne.
Ovaj slučaj može imati široku primjenu u svakoj gospodarskoj grani ili organizaciji, pa ga ukratko prenosimo.
Sve je krenulo hakerskim napadom na IT sustave avio-kompanije kojima je hakeru omogućen pristup osobnim podacima 25 milijuna putnika.
"Srećom", haker je skinuo podatke "samo" 83.000" putnika, pri čemu se radilo o imenima i prezimenima, spolu, email adresama, telefonskim brojevima, podacima o letovima i rezervacijama te datumima rođenja.
U tim podacima nalazili su se i zdravstveni podaci putnika, npr. onih s invalidskim kolicima ili koji su imali teškoće s vidom ili sluhom.
Kako je haker ušao u sustave velike kompanije?
Ušao je pogodivši lozinke dva računa zaposlenika IT odjela, u kojem su vjerojatno i admini sustava kompanije.
1. Lozinke su bile prejednostavne za pogoditi, naime, lozinke su bile s vrha svjetske top-liste najčešćih lozinki, nalik na "123456" ili "password" ili "Welcome"
2. Za ulazak u sustave avio-kompanije bilo je dovoljno pogoditi lozinku, jer je kompanija zaboravila uvesti obveznu multi-factor autentifikaciju korisnika
3. Zaposlenici čiji su računi probijeni pogađanjem lozinke imali su neograničena prava pristupa praktički svim sustavima kompanije, bez ograničenja samo na one koji su im nužni
Više o slučaju na:
https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-fines-transavia-poor-personal-data-security
Photo by Ksenia Chernaya from Pexels
