Okazuje się że jestem jednym ze szczęśliwców których dane osobowe Netia tak niefrasobliwie rozsiewa (pojawiła się informacja że nieuprawnione osoby radośnie buszowały sobie w sieci Netii od kwietnia). W związku z tym dwa pytania.

Pierwsza dla mnie bardzo istotna sprawa to jakie w ogóle dane udostępnili. Oczywiście Netia stworzyła adres email na który można słać zapytania. Wysłałem, otrzymałem odpowiedź że muszę podać adres email/telefon na który wysłali powiadomiwnie o rozsianiu moich danych. Podałem więc i cisza. Jak ich zmusić do podania tych danych? W najlepszym razie posiali tylko numer telefonu, ale w najgorszym są to tak wrażliwe dane jak numer dowodu czy pesel więc sprawą najważniejszą jest dowiedzieć się co fruwa po sieci. Najważniejszą dla mnie, niekoniecznie dla Netii jak widać.

No i druga rzecz, to już druga taka akcja Netii w ostatnim czasie. Czy mogę zażądać jakiegoś odszkodowania? Nawet jeśli to tylko numer telefonu, to jednak istnieje szansa że będę musiał się kopać z jakimiś spamerami czy innym cholerstwem. Chyba że jakiś pozew zbiorowy? W końcu za totalny brak kompetencji Netii należy się solidny kop w dupę. Tylko na ile jest szansa żeby im takiego kopa zasadzić?

Z czego wnioskujesz "totalny brak kompetencji". Nie da się tego typu systemu - do którego dostęp mają tysiące osób, zabezpieczyć w 100%. Przetwarza się dane, to czasami coś wycieknie. Normalna sprawa. 
Jestem pewien, że w przypadku pozwu wykażą, że spełniali wszystkie możliwe normy ISO i robili regularne audyty bezpieczeństwa, więc nic tu się nie ugra. Masowe przetwarzanie danych jest ogromnym ułatwieniem. Dzięki temu nie czekasz np. na wydanie karty SIM dwóch lat. Wiąże się z nim jednak, w nieunikniony sposób, to że czasami coś "masowo" trafi w niepowołane ręce.

Wrażliwe dane to ma NFZ, czy firmy biorące udział w refundacji leków (np. o chorobach zakaźnych), a nie Netia (jakieś numerki, takie czy inne).

Mówisz, że imię i nazwisko, pesel, seria i numer dowodu to nie są wrażliwe dane? To może podasz tutaj swoje? ;)

A o niekompetencji piszę bo potwierdzają ją statystyki. Netia nie jest jedyną firmą która masowo przetwarza dane, a to jest jedyną której masowy wyciek owych danych trafił się dwukrotnie w przeciągu o ile pamiętam trzech lat.

@kowgli
Litości, nie da się. Oczywiście że się da, wystarczy nie robić go jawnie otwartym na tzw. Internet.
Po to są Intranety, po to są rozwiązania pośrednie. Problemem jest to, że porządnie wykonana sieć i rozwiązania minimalizujące takie sytuacje, po prostu kosztują kupę kasy.

moje dane już trzeci raz poszły w świat - jestem szczęśliwym nadawcą "dla świata" numerka z Adobe - imię, nazwisko, mail i hasło do płatnego konta, potem nadawcą w świat płatnego konta w Sony Playstation, teraz Netii, gdzie mam mnóstwo usług. 

Cóż,.... zachowanie prywatności w sieci wymaga albo ogromnej energii, pewnej dawki wiedzy i samozaparcia, albo przychodzi nam sie pogodzić z takim szajsem....  obawiam się że będzie go tylko więcej a nie mniej. 

@szczur3k
Wyciekły ponoć różne dane ale faktycznie mogłeś udostępnić światu także swój PESEL i dowód. Na nbzp są 2 aktualizowane wpisy o tym, także o tym że Netia niechętnie podaje jakie dane stracili (niestety w komentarzach więc dla strasznego wiedza ta jest niedostępna).
Zresztą dumpy baz są w sieci, ciągle w tym samym miejscu. Co jakiś czas znikają ale zaraz wracają.

@ elkoos

Hmmm... to jakbyś się np. logował do swojego konta, w internetowym biurze obsługi klienta, gdyby nie było wystawione na "tzw. Internet". Nie ma opcji, aby nie wystawiać tego w ten czy inny sposób na świat. Poza tym, to nie jest baza tajnych dokumentów CIA.
Twoja opinia poparta jest jakimś doświadczeniem przy projektowaniu tego typu systemów? Czy po prostu tak Ci się wydaje?

@kowgli

to jakbyś się np. logował do swojego konta, w internetowym biurze obsługi klienta, gdyby nie było wystawione na "tzw. Internet"

Nie wiem czy dobrze rozumiem co napisałeś ale tak jak to rozumiem to odpowiedz brzmi choćby sieć WAN/VPN. Sam pracuję w dużej instytucji mającej placówki w całym kraju w tym specjalne końcówki dla klientów. Firma ma wykupione łącza na terenie cąłego kraju i końcówka w "Pcimiu Dolnym" jest tak sam w wewnętrznej sieci jak i komputer Jego Eminencji Prezesa w Wa-wie.
Nie ma żadnego powodu dla którego komputer "dla klienta" w Zapyziewie miałby byc podłączony do zwykłego Internetu a klient miał zysk tylko taki, że mu w biurze Firmy na głowę nie kapie jak korzysta z terminala.
Tyle że jak @elkoos zauważył - to kosztuje.

@ thor2k
Chodzi o systemy do których dostęp masz Ty jako klient. Np. żeby pobrać fakturę, albo zaktualizować dane kontaktowe. Siłą rzeczy muszą one mieć dostęp do twoich danych osobowych. 
Oczywiście powinny być odpowiednio zabezpieczone, ale nigdy nie jest to 100%. Zresztą tego typu wycieki danych są zazwyczaj z pomocą z wewnątrz firmy. Wystarczy przekupić, czy w inny sposób zmotywować jakiegoś kierownika, który ma dostęp do bazy klientów i może je np. wyeksportować do Excela. Zawsze istnieje konieczność kompromisu pomiędzy wygodą używania i bezpieczeństwem.

@kowgli
Po pierwsze wyciek nastąpił z portalu inwestor.netia.pl (czy jakoś tak) a nie z klienckiego.
Po drugie klient ma dostęp do swojego konta (podanego mu przez system) a nie do pliku bazy danych.
Po trzecie wyciekły żywe sql'e a nie żadne eksporty...zawsze w sumie wyciekają pliku źródłowe - eksport 18 czy nawet 9GB pełnych baz danych do Excela mógłby zwrócić czyjąś uwagę...

@djluke


Wiadomo, że ma się dostęp do swoich danych. Ale strona (jako aplikacji) ma do wszystkich, więc jeśli się ją shackuje..


Jeśli ktoś ma uprawnienia do eksportu, to nie jestem przekonany czy zwróci to czyjąś uwagę. Dane klientów to nie są na tyle istotne dane, aby monitorować takie rzeczy.

... biorąc pod uwagę moją pracę mam dostęp do danych milionów osób, różnych firm. Również wrażliwych. Mogę sobie wyeksportować co chcę w dowolnej postaci. Absolutnie nikt nie zwróci na to uwagi. Zresztą jestem 100% pewien, że nie jest to w żaden sposób audytowane.
Jestem pewien, że nie jestem jedyny...

no to może mała korespondencja z netią
1.

Szanowny Panie,

Dla podanego numeru adresu e-mail zostały wykradzione z formularza kontaktowego na stronie netia.pl następujące dane:

- adres email
- numer telefonu

Przepraszam Pana za wszelkie niedogodności.

2.

Szanowny Panie,

W naszej ocenie, obecnie nie występują podstawy do zadośćuczynienia i odszkodowania z powodów, które Państwo wymieniają. Prosimy o wiadomość, jeśli posiadają Państwo informacje, które świadczą o podstawach do zadośćuczynienia i odszkodowania.

3.

Szanowny Panie,

Skradzione zostały dane z formularza zgłoszeniowego na stronie netia.pl. a nie z systemów Netii. Każdy kto wejdzie na naszą stronę ma możliwość pozostawienia danych do kontaktu z Przedstawicielem Handlowym Netii w celu przedstawienia oferty Netia nie ma danych, które zostałyby inaczej pozyskane niż ich wpisanie na formularzu, więc dane musiały być w przeszłości pozostawione na netia.pl.

ale jeszcze jeszcze trochę z nimi gadam, info o tym że coś się stało dostałem na wszystkie możliwe numery tel. adresy email, nawet taki który mam od 2 tygodni skąd go mieli nie wiem.

"... nawet taki który mam od 2 tygodni skąd go mieli nie wiem"


@alli, może masz jakiegoś robala i to Ty jesteś źródłem wycieku Twoich danych, pomyślałeś o tym?

Ja myślałem, że formularz to tylko międzymordzie pomiędzy użytkownikiem a takim czy innym systemem przetwarzania i/lub przechowywania danych, a same dane leżą sobie na serwerze właśnie. A tu proszę, dane były przechowywane w formularzu. Może zamiast kupować dysk stworzę sobie jakiś formularz...? 

No cóż, jeśli w ich ocenie nie ma podstaw do zadośćuczynienia (a to niespodzianka!) to może warto o taką ocenę zapytać sąd?

@cgc -  na pałę wysyłali gdzie się da, bo przecież nie wiedzą które są poprawne które nie więc dali wyślij do wszystkich i poszło gdzie trzeba i gdzie nie trzeba też.

@alii
Było na nbzp - wysłali gościowi że ukradli mu numer czy maila czy tam tylko coś a w bazie znalazł wszystko - PESEL, dowód itp. Także to takie źródło jak żadne.
A nowy numer...miał ktoś wcześniej i mógł się nim kontaktować z Netią.

@szczur3k
Bo to jest międzymordzie i w zasadzie z formularza nie da się (nie powinno się dać!) pozyskać całej bazy a jedynie pojedyncze rekordy. Jasne że można odpytać całą bazę ale wtedy nie mówilibyśmy o skopiowaniu tej bazy!
Ty w ogóle miałeś kontakt z Netią? Odkąd pamiętam masz Dialog...chyba że to Netia teraz? Bo coś takiego kojarzę...

@djluke
No tylko powiedz mi jak mam tą bazę zdobyć żeby to sprawdzić? Albo gdzie napisać żeby mi to ktoś zweryfikował?

Tak dialog to teraz jest netia.

@alii
Linki do baz są na profilu społecznościowym atakującego.
Sporo o włamaniu pisał nbzp [LINK]

Mi netia odpisała że udostępnili moje imię, nazwisko, adres email i telefon, jednak od kolejnej osoby usłyszałem, że sprawdziła w wykradzionych plikach i był tam również adres zamieszkania. Zaczynam zastanawiać się skąd pobrać tę bazę, bo jak widać na tym co mówią ludzie z netii można polegać mniej więcej tak samo jak na obietnicach polityka :/