Společnosti Cecotec trvalo dva roky, než upozornila na únik informací, který postihl 933 zákazníků, a nedodržela tak maximální 72hodinovou lhůtu stanovenou GDPR pro oznámení narušení bezpečnosti.
Společnost Cecotec, která vyrábí domácí spotřebiče, tento týden oznámila svým zákazníkům narušení bezpečnosti, které ohrozilo osobní údaje téměř tisícovky uživatelů. Na případu není ani tak zarážející hackerský útok, jako spíše skutečnost, že k němu došlo v dubnu 2023 a trvalo jim dva roky, než jej odhalili, čímž porušili evropské předpisy, které vyžadují oznámení takových incidentů do 72 hodin, aby ochránili ty, kteří byli postiženi.
K hackerskému útoku došlo ve starém internetovém obchodě Cecotec, který se nepoužíval od roku 2020, ale v němž byly uloženy citlivé informace o 933 zákaznících. Ukradené údaje zahrnovaly celá jména, čísla občanských průkazů, poštovní adresy a telefonní čísla, ačkoli společnost přísahá, že nebyly zasaženy žádné bankovní údaje ani hesla.
Údaje byly vystaveny dva roky bez vědomí uživatelů
Útok se týkal pouze 0,1 % všech zákazníků společnosti Cecotec, ale závažné je, že trvalo dva roky, než byl vyvolán poplach, takže postižení byli 24 měsíců slepí k riziku. Jakmile byl problém odhalen, společnost podle svého tiskového prohlášení reagovala deaktivací postižené platformy a odebráním přístupových oprávnění. Zřídila také interní bezpečnostní výbor a zahájila cvičení phishingu, aby posílila svou obranu, což je v situaci, kdy jsou útoky prostřednictvím špionážních aplikací stále nebezpečnější, nezbytné.
Související článek
Není to poprvé, co se značka Conga potýká s bezpečnostními problémy. V roce 2020 hackeři na konferenci No cON Name přistihli vysavače této značky, jak ukládají podrobné mapy domů na server s podvodnými hesly. Ačkoli společnost reagovala do 24 hodin a zapřísahala se, že k úniku osobních údajů nedošlo, incident už zaváněl poskvrnou v jejích ochranných systémech.
Podle odborníků tak pozdní ohlášení podobných narušení znásobuje nebezpečí pro oběti, protože ukradené údaje mohly být po celou dobu využívány k phishingovým kampaním, aniž by se kdokoli mohl dostat do bezpečí. Přehmat společnosti Cecotec připomíná jiné podobné případy technologických firem, které musely po ničivých útocích ukončit činnost, i když tentokrát se zdá, že úder byl omezenější.
Společnost Cecotec uvedla, že na případ již upozornila španělskou agenturu pro ochranu údajů, a na své internetové stránky umístila formulář, pomocí něhož mohou postižení podat stížnost. Na sociálních sítích se mezitím již objevily komentáře kritizující politiku společnosti lepší pozdě než nikdy a zpochybňující, zda skutečně splnila všechny své zákonné povinnosti.
Společnost Cecotec připomíná, jak zásadní je prověřovat bezpečnost společností, které nakládají s našimi údaji, a zůstat ve střehu před možnými podvody. Pokud jste zákazníky valencijské značky, měli byste v příštích měsících dávat pozor na podezřelé e-maily, SMS nebo telefonáty, protože vaše údaje mohou kolovat a nakonec se stát dokonalou návnadou pro podvodníky, kteří se chtějí na váš úkor přiživit.
Dopad opožděného oznámení
Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) jasně hovoří o povinnosti oznámit narušení bezpečnosti do 72 hodin. Cílem tohoto nařízení je chránit uživatele a zajistit, aby společnosti nakládaly s jejich údaji zodpovědně. Nedodržení tohoto nařízení nejenže ohrožuje soukromí uživatelů, ale může mít za následek i značné sankce pro společnosti. V případě společnosti Cecotec vyvolalo dvouleté zpoždění v oznamování kritiku a zpochybnilo její závazek k bezpečnosti údajů jejích zákazníků.
Případ společnosti Cecotec také poukazuje na to, jak je důležité udržovat bezpečnostní systémy v aktuálním stavu a provádět pravidelné audity s cílem odhalit potenciální zranitelná místa. Společnosti musí být při ochraně údajů svých zákazníků proaktivní a nečekat, až dojde k incidentu, a teprve poté podniknout kroky. Kromě toho je nezbytné, aby společnosti vzdělávaly své zaměstnance o důležitosti zabezpečení dat a o tom, jak předcházet phishingovým útokům a dalším kybernetickým hrozbám.
Incident společnosti Cecotec je připomínkou důležitosti transparentnosti a odpovědnosti při správě osobních údajů. Společnosti musí pečlivě chránit informace svých zákazníků a v případě narušení bezpečnosti rychle jednat. Uživatelé si zase musí dávat pozor na podezřelé aktivity a podniknout kroky k ochraně svých osobních údajů.