Breşă de securitate: NEMO Express pune AWB-urile clienţilor, la liber

Una dintre cele mai vechi companii de curierat din România, NEMO Express, cu afaceri de peste 120 de milioane de lei, a fost identificată ca având grave carente de securitate, AWB-uri ale clienţilor fiind PUBLICE şi necriptate pe site-ul companiei, informează wall-street.ro. Practic, clienţi care au comandat de la diferite magazine şi a căror livrare s-a făcut prin NEMO Express au toate datele lor uşor de găsit, acestea fiind expuse public - număr de telefon, adresa, uneori şi CNP, ce au comandat şi când.

Un specialist IT consultat de wall-street.ro a detaliat expunerea, spunând că la o simplă căutare a găsit zeci de astfel de AWB-uri, toate publice, şi că, cel mai probabil, numărul lor este extrem de mare.

"Am găsit AWB-uri atât de luna aceasta, cât şi încă din aprilie - probabil sunt toate comenzile procesate şi livrate prin NEMO Express într-un anumit interval de timp. Ce e surprinzător este că toate aceste informaţii sunt publice - adică oricine poate accesa URL-urile respective, fără parola, fără username - nu există niciun fel de criptare sau măsura de securitate".

Oficialii NEMO Express au declarat că "La data prezentului email s-a verificat dacă există scurgeri de informaţii ce pot fi supuse analizei de securitate a datelor, constatându-se sub acest aspect inexistenţa unei vulnerabilităţi cunoscute". wall-street.ro a acordat companiei aproape o zi pentru că problema să fie rezolvată, însă, la data publicării articolului, aceasta nu fusese remediata.

Pe AWB-urile respective sunt date confidenţiale ale clienţilor – ce au cumpărat, când, dar, mai periculos, adrese de contact/livrare, numere de telefon şi chiar CNP-uri, după cum vedeţi în screenshot-urile alăturate, cenzurate.

În imaginea de mai sus am compilat doar câteva dintre AWB-urile dintr-o singură zi de activitate a NEMO Express. Acestea sunt publicate pe site-ul companiei în format .JPG şi pot fi vizualizate de oricine, fără a fi necesară nicio parolă sau uşer name.

NEMO Express, cu peste 360 de angajaţi, este una dintre ultimele companii de curierat controlate de acţionari romani - Dan Dumitru Şerbănescu şi Florian Stanila. FAN Courier are, de asemenea, acţionariat românesc, în timp ce jucători precum DPD, Urgent Cargus sau DHL au acţionariat străin.

Ce spune expertul în GDPR – avocat Ana-Maria Udrişte, Avocatoo.ro

În cazul de faţă vorbim, pe de o parte, de date personale – nume, prenume, adresa de domiciliu, adresa de livrare, care sunt protejate de GDPR, dar şi de informaţii care pot fi considerate în anumite condiţii ca fiind secrete comerciale, mai ales că poţi vedea expeditorul, destinatarul, precum şi conţinutul trimiterii (acolo unde a fost indicat).

Nemo Express, în calitate de operator, are obligaţia de a lua măsuri care să asigure confidenţialitatea şi securitatea prelucrării acestor date, conform art. 32 alin. (1) GDPR, prin raportare la stadiul tehnologic. Mai mult, unul din principiile fundamentale ale GDPR este cel al ”integrităţii şi confidenţialităţii”, regăsit în art. 5 alin. (1) lit. f) – datele personale trebuie să fie ”prelucrate într-un mod care asigura securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate şi confidenţialitate”).

Faptul că pe link-uri publice, accesibile oricărei persoane din exterior, se pot vedea AWB-urile scanate, cu toate detaliile, fără a fi anonimizate sau confidenţiale reprezintă o breşă de securitate.

Potrivit legislaţiei naţionale şi europene, pentru nerespectarea sau implementarea defectuoasă a unor măsuri de securitate, operatorul risca o amendă de 10 mil euro sau 2% din cifra de afaceri, în funcţie de care valoare este mai mare. Dacă se va ajunge aici, pentru a stabili cuantumul sancţiunii, vor fi avute în vedere următoarele circumstanţe:

(a) natura, gravitatea şi durata încălcării, ţinându-se seama de natură, domeniul de aplicare sau scopul prelucrării în cauză, precum şi de numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;

În cazul de faţă vorbim de mii de persoane afectate, la nivel naţional, ale căror date personale sunt accesibile prin intermediul unor link-uri unde doar schimbi adresa url-ului.

De asemenea, va trebui analizat (a) de când sunt aceste date publice, (b) dacă sunt nişte rămăşiţe sau practic se actualizează în timp real, (c) prejudiciile suferite de persoanele vizate. (b) dacă încălcarea a fost comisă intenţionat sau din neglijenţă;

(c) orice acţiuni întreprinse de operator sau de persoană împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată; - dacă ne uităm la cazul Equifax din SUA, aceştia au implementat inclusiv un fond destinat despăgubirii persoanelor vizate afectate de divulgarea a peste 147 milioane de date personale.

(d) gradul de responsabilitate al operatorului ţinându-se seama de măsurile tehnice şi organizatorice implementate de acesta; - acest lucru se va analiza punctual, însă implementarea unor măsuri care să nu lase măcar link-urile disponibil publice accesibile oricărei persoane ar fi trebuit adresată încă de la început, mai ales în condiţiile obiectului de activitate – până la urma Nemo Express îşi concentrează activitatea în jurul acestor AWB-uri pentru a-şi duce la îndeplinire sarcinile de livrare. Însă dacă ne uităm la nota de informare de pe site-ul celor de la Nemo Expres, la politica de confidenţialitate, vedem că aceasta este încă făcută în baza Legi nr. 677/2001, care are aproape un an de când nu mai este în vigoare, de când a devenit GDPR aplicabil.

(e) eventualele încălcări anterioare relevante comise de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării;

(g) categoriile de date cu caracter personal afectate de încălcare; -intr-adevar, nu vorbim de date cu caracter sensibil, precum CNP sau date medicale, însă avem publice numele, prenumele, telefonul, adresa de livrare/domiciliu. Practic, în acest moment, dacă cineva ar vrea să afle despre o persoană unde stă în mod concret, o poate face doar uitându-se la acest AWB.

(h)modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în special dacă şi în ce măsură operatorul său persoană împuternicită de operator a notificat încălcarea;

O asemenea breşă de securitate merge chiar mai departe de GDPR. Gândiţi-vă că aşa poţi afla furnizorii unei companii şi preţurile la care vând aceştia marfă (pentru că au posibilitatea de plată ramburs) sau că sunt informaţii personale, despre care persoanele nu ar fi vrut să se afle vreodată (cum ar fi medicamente pentru anumite afecţiuni, care sunt trecute la rubrica de observaţii). Prejudiciul într-un asemenea caz va trebui analizat pe fiecare situaţie concretă în parte.

Pe lângă sancţiunea propriu-zisă aplicată eventual de autoritate, Nemo Expres ar trebui să fie atent şi la:

(a) acţiuni din partea clienţilor, persoane fizice sau juridice, care pot cere despăgubiri pentru încălcarea obligaţiilor de confidenţialitate, pe lângă obligaţiile prevăzute de GDPR (pentru că eu, în calitate de client, când apelez la tine, am siguranţa că informaţiile privind acele acţiuni nu vor deveni publice);

(b) acţiuni din partea destinatarilor livrărilor respective, pentru nerespectarea GDPR prin permiterea divulgării neautorizate la date personale.

Ce trebuie să reţinem de aici este că GDPR nu este un bau-bau. Datele noastre au fost expuse cu mult înaintea apariţiei lui – însă acum suntem mai conştienţi de acest fenomen – aproape săptămânal avem câte o companie de renume amendata. Ceea ce va duce la conştientizarea importanţei datelor personale în rândul celor care le deţin, să nu ni le mai dăm peste tot şi să nu le mai lăsăm expuse. Cum e în cazul de faţă – nu cred că îi convine cuiva că adresa lui de domiciliu să fie publică. Sau să ştie şi alte persoane ce a cum.

Sfatul meu pentru companii este să îşi rupă o bucăţică din timp şi să înceapă să lucreze la conformitate – pentru că nu se face de pe o zi pe alta, ci este un proces de durată, în timp. Fiecare acţiune pe care o faci trebuie să fie documentată, proiectată şi structurata de o asemenea manieră încât să respecte principiile protecţiei datelor personale", încheie Ana-Maria Udrişte, de la Avocatoo.ro.