Z danych powstała interaktywna mapa polskich klientów
Wyciek danych osobowych klientów chińskiej platformy zakupowej stanowił poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników. Dane te, wyciekając z serwisu, zostały następnie udostępnione na różnych stronach internetowych w formie zagregowanej, co umożliwiło nieautoryzowanym osobom dostęp do nich. Konsekwencje tego incydentu są poważne i mogą mieć daleko idące skutki dla osób, których dane dotknął wyciek.
31 marca 2024 roku, dane osobowe 1,3 miliona klientów platformy z całego świata, w tym z Polski, zostały uwolnione w wyniku ataku na platformę pandabuy.com. Wyciek obejmował szeroki zakres informacji, w tym imiona i nazwiska, adresy e-mail, numery telefonów, identyfikatory użytkowników, adresy IP, hasła, adresy dostaw, a także dane dotyczące zamówień i płatności. Te cenne informacje mogą być wykorzystane przez cyberprzestępców do celów nielegalnych, takich jak kradzież tożsamości czy oszustwa finansowe.
Niestety, po wycieku, dane te zostały wykorzystane do stworzenia strony „lista-drillowcow.pl”, która pojawiła się już 7 kwietnia 2024 roku. Autorzy strony wykorzystali te informacje, aby stworzyć interaktywną mapę Polski, na której umieścili dane dotyczące polskich klientów platformy, włączając w to ich imiona, nazwiska oraz adresy dostawy. Pomimo działań podejmowanych w celu zablokowania dostępu do tej strony, pojawiała się ona pod różnymi adresami, co tylko potęgowało ryzyko dla użytkowników.
Za to przestępstwo grozi do dwóch lat więzienia
Mirosław Wróblewski, prezes UODO, 29 kwietnia 2024 r. zawiadomił Prokuraturę Rejonową Warszawa Śródmieście–Północ o podejrzeniu popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com.
W ocenie Prezesa UODO przetwarzanie danych osobowych polskich klientów platformy sprzedażowej pandabuy.com, w tym ich publikacja na wymienionych stronach internetowych, przez osoby administrujące tymi stronami odbywało się bez podstawy prawnej. Chiński sklep najprawdopodobniej naruszył przepis art. 107 ust. 1 ustawy o ochronie danych osobowych, który określa, że "kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch".
Jak zauważa UUDO jest to przestępstwo powszechne, ścigane z urzędu, z oskarżenia publicznego, za które odpowiada ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne.
- Z niedopuszczalnym przetwarzaniem danych osobowych mamy do czynienia, gdy odbywa się to bez podstawy prawnej i nie występuje żadna z przesłanek legalizacyjnych przetwarzanie danych określonych w przepisach RODO – przypomina Urząd.
Zgodnie z komunikatem Prezesa UODO zawiadomienie prokuratury nie oznacza końca sprawy. Urząd w związku z tym wydarzeniem zapowiada podjęcie także innych działań w ramach zadań i uprawnień, przysługujących mu na gruncie ogólnego rozporządzenia o ochronie danych (RODO) oraz przepisów krajowych.
24@bialystokonline.pl