BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Comunicación de brecha de seguridad posiblemente deficiente

rpr

Una empresa que me presta un servicio de mantenimiento ha sido víctima de un ciberataque. Según dicen en su propia página web, podría haber habido acceso a datos personales (los típicos), pero la información bancaria está cifrada y no tienen evidencia de que haya habido fuga de esta información. También dicen que lo han notificado a al AEPD y que han presentado denuncia a la policía.

Hasta aquí, así es la vida. El chiste es cómo me he enterado:

Esta empresa envía una newsletter comercial, y en su último email, con título "Inauguramos oficinas en Tarragona", el ciberataque era la tercera de cuatro noticias. Por cierto, que nunca me he apuntado a esta newsletter, y nunca he dado a esta empresa permiso para realizar comunicaciones comerciales.

Planteo tres preguntas:

  • Este tipo de brecha, ¿cumple los requisitos que obligan a la comunicación a los afectados?
  • Si es así, ¿soy yo, o es evidente que la comunicación no se ha realizado correctamente? He abierto el email por casualidad, 3 semanas después de que lo enviaran.
  • Si hago una reclamación a la AEPD, ¿la empresa conocerá mi nombre?
esj

Si conocerá tu nombre pues eres tú quien reclamas ante ellos. Pero qué me corrija alguien si no estoy en lo cierto

🗨️ 5
Aell6782
-1

Merecérselo se lo merece.

Salvo si actúa con la misma contundencia contra otro tipo de empresas más grandes.

Los datos bancarios, si por ejemplo usa stripe, ni siquiera están físicamente en el servidor.

Puede ser chapucera, pero me parece una metida de pata, tratar de joderles denunciando ante la AEPD, si ellos han seguido todos los pasos (de forma más acertada o menos)

🗨️ 2
CuloDePez

Para nada ha sido un despiste ni un detallito menor. Meter una información así, sea grande o pequeña la empresa, en una newsletter promocional, es no tener vergüenza ninguna. De sobra saben como se debe de hacer.

🗨️ 1
Aell6782

Lo dicho, espero esa contundencia siempre.

pegaca0

Yo hace tiempo denuncié a una empresa a la AEPD (que la sancionaron con 6000 euros) y uno de los empleados de esa empresa se metió a cotillear mi Linkedin.

🗨️ 1
rpr

Ya, yo temo que luego me den problemas con sus servicios, no porque haya indicios de nada hasta la fecha, sino por la simple naturaleza humana.

pastor de becerros

Salvo que sepan que tu eres un afectado con nombres y apellido la comunicacion que te ha llegado puede ser mejor pero es correcta

🗨️ 2
TLF

¿Es válido enviar un mensaje indicando que ha sucedido una brecha de seguridad dentro de un mensaje cuyo título no guarda relación?

Lo pregunto sin ironías, no sé la respuesta, pero me parece rarísimo, pensaba que habia que notificarlo de forma exclusiva.

🗨️ 1
rpr

Por lo que yo leo, la notificación ha de ser clara, y esto no me parece claro: sin entrar en qué han hecho con la gente que no está suscrita a la newsletter, has de abrir un email comercial, en cuyo asunto no se dice nada de la brecha, leer varios epígrafes, y pinchar en el correspondiente link a su web para poder leer qué datos se han filtrado. (La página con el "comunicado a los clientes" no está linkada desde ninguna web pública.)

Por otra parte, como digo, no sé si la notificación es necesaria en este caso, dados los datos que se han filtrado.

lordman
1

Yo no denunciaría nada por que lo de la AEPD es de vergüenza, el motivo ya te lo han dicho.

En todo caso busca otra empresa que te de un servicio similar y cambiate.

Aunque claro, igual te cambias y les pasa lo mismo a la empresa en la que aterrices.

rpr

No tengo particular animosidad hacia la empresa, no tengo quejas de su trabajo técnico en sí, pero está claro que en este área van flojos, y creo que son lo suficientemente grandes (~100 empleados, >20k clientes) como para tomárselo más en serio. Idealmente uno hablaría con ellos y les haría ver que ésta no es forma de tratar a los clientes en esta década, pero la cuestión es suficientemente técnica como para que el mismo DPD que les ha planificado la estrategia les diga que la estrategia es correcta, no hagan nada, y acaben todavía más convencidos de que lo que han hecho está bien.

isidro1915
1

No, no cumple, pero este país es así: conozco el caso de un colegio profesional que sufrió un ciberataque hace un par de años en el que comprometieron toda la base de tramitación de tráfico y vehículos de la Comunidad de Madrid y buena parte de las provincias limítrofes. Una semana sin servicio, perdida de expedientes tramitados, base de datos cifrada, pérdida de información de los colegiados… en fin, un desastre y toda la base de datos extraída.

Se comunicó a la AEPD, se denunció a la policía y lo único que se mandó a los colegiados fue un correo electrónico informando de que había habido un ataque y que no se podía tramitar ningún expediente porque había que recomponer el servicio de tramitación ya que el CPD entero estaba cifrado. Nada de información del alcance, nada de información por si alguien quería reclamar y, por supuesto, cero información a los clientes cuyos datos acabaron en Rusia

Te puedo asegurar que a día de hoy nadie ha reclamado nada y estamos hablando de millones de expedientes…

Slm
3

Yo sigo esperando que la DGT me informe sobre el robo de datos que sufrieron. No se si soy el único…

🗨️ 1
Fmc
1

Por favor, caballero, siga las instrucciones y sople…

Josh

Si mencionas el nombre de la empresa igual aparece la opinión de otros afectados.