Sameday (Delivery Solution), curier controlat de Dante International, administratorul eMAG, cel mai mare retailer online, a fost amendat cu 3.000 de euro cu argumentul că baza de date a companiei este disponibilă la vânzare pe un site, potrivit Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
"Autoritatea a finalizat în luna iunie 2022 o investigație la Delivery Solutions (Sameday) și a constatat încălcarea dispozițiilor articolelor 29, 32, aliniatul (1), litera b) și aliniatul (2) din Regulamentul General privind Protecția Datelor (RGPD). Delivery Solutions a fost sancționată contravențional cu amendă în cuantum de 14,825.70 lei (echivalentul a 3.000 euro). Investigația a fost demarată ca urmare a unor sesizări depuse de o persoană fizică ce a semnalat faptul că baza de date a Delivery Solutions este la vânzare", potrivit instituției.
28 noiembrie - Profit Financial.forum
În cadrul investigației efectuate, ANSPDCP a constatat că Delivery Solutions este persoana împuternicită a două societăți pentru prelucrarea datelor cu caracter personal, fiind obligată să ia toate măsurile necesare pentru a proteja sistematic prelucrarea datelor cu caracter personal ale persoanelor fizice, așa cum prevede articolul 28, aliniatul (3), litera c) din RGPD, inclusiv împotriva divulgării și/sau accesului neautorizat la date.
De asemenea, instituția a constatat că date cu caracter personal aparținând unui număr de 26.566 persoane fizice (număr și dată AWB – documentul de transport ce însoțește obligatoriu expedierea oricărui colet, indicative curieri, nume expeditor, nume și prenume destinatar, număr de telefon, adresă, status livrare, tipul serviciului, greutate colet, suma de încasat, intervalul de livrare) erau disponibile spre vânzare pe un forum.
"Ca atare, Delivery Solutions a fost sancționată cu amendă întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea și/sau accesul neautorizat la datele cu caracter personal pentru 26.566 persoane fizice vizate'', conform sursei citate.
Profit.ro a relatat, în aprilie 2020, că Sameday a fost ținta unui incident informatic, iar o fracțiune din datele referitoare la expediții aferente perioadei octombrie-noiembrie 2019 au fost extrase în mod ilegal de o persoană neautorizată din afara companiei și postate pe un forum. Detalii AICI.
În 2021, Delivery Solutions a consemnat un profit net de 4,37 milioane de lei la afaceri de 601,4 milioane de lei, comparativ cu o pierdere de 11,1 milioane de lei la un volum al afacerilor de 399,8 milioane de lei.
Acționarii curierului sunt Dante International - 92,75% și Lucian Baltaru (directorul general al companiei) - 7,25%.
UPDATE Ora 11.07 Precizările companiei - Informarea emisă de ANSPDCP este despre un incident care a avut loc în anul 2020, despre care compania și-a exprimat punctul de vedere și la momentul respectiv. În data de 7 aprilie 2020, Sameday a luat la cunoștință o situație neprevăzută, neautorizată și ilegală, care a compromis confidențialitata anumitor date cu caracter personal.
Pe website-ul https://raidforums.com/Thread-SELLING-=%C3%A6-SAMEDAY-RO-Romanian-Postal-Service a apărut un jurnal de trimiteri care conținea date cu caracter personal (număr și dată AWB, indicative de curieri, nume expeditor, nume destinatar, adresă, număr de telefon, status livrare, tipul serviciului, greutate colet, suma de încasat, interval de livrare) a 26.566 persoane fizice vizate. Niciun alt fel de date importante nu au fost expuse.
Website-ul radiforums.com a fost închis de către autoritățile competente: Biroul Federal de Investigații din Statele Unite ale Americii și Departamentul de Justiție al Satelor Unite ale Americii, alături de Serviciile Secrete ale SUA, Europol, Agenția Națională de Combatere a Criminalității a Marii Britanii, Poliția Română, Poliția Suedeză și alte autorități partenere.
După incidentul din 2020, Sameday a implementat o serie de măsuri suplimentare de siguranță și confidențialitate a datelor referitoare la fiecare expediție privind infrastructura și rețelele de comunicații, precum și modificări care au implicat sistemul compromis.
Sameday a tratat incidentul cu responsabilitate și, împreună cu autoritățile competente, a luat toate măsurile tehnice și organizatorice necesare pentru a restabili un nivel de securitate corespunzător riscului prelucrării generat, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu carcater personal stocate sau prelucrate într-un alt mod, care a condus la pierderea confidențialității datelor cu caracter personal.
Compania a desfășurat „evaluarea cantitativă și calitativă privind riscurile asupra drepturilor și libertăților persoanelor vizate", aplicând recomandările de metodologie a evaluării gravității breșelor de securitate emise de Agenția Uniunii Europene pentru Securitatea Rețelelor și Informațiilor (ENISA), în urma căreia breșa de securitate a fost încadrată ca având un nivel de „gravitate mică", ceea ce înseamnă că persoanele fizice nu au fost afectate.
După incident, Sameday a implementat o serie de măsuri privind infrastructura și rețelele de comunicații – review al drepturilor de acces, al regulilor de firewall aferente infrastructurii aplicației, la nivel de OS și softuri folosite, implementarea unui sistem de lucru IAC (Infrastructure As a Code), configurarea de sisteme de notificare automată la intervenția pe zonele de infrastructură considerate sensibile, înlocuirea sistemului de acces cu unul bazat pe o soluție de Active Directory oferită de Microsoft Azure, redesign al infrastructurii de producție, inventarierea și închiderea de aplicații legacy, unificarea endpointurilor publice și schimbarea furnizorului de auditare de securitate.
Referitor la modificările care implică sistemul compromis, Sameday a dezactivat seviciul Application Gateaway care a fost identificat ca entry point-ul vulnerabil. A fost înlocuit complet sistemul de comunicare cu unul care să permită doar acces de scriere aplicației instalate pe lockere, iar întreaga comunicare cu device-urile fizice a fost mutată pe un VPN oferit de Vodafone, cu limitarea accesului la sistemele cloud doar din acest VPN.