Vijest o masovnom curenju podataka koje je otkrilo oko milijardu zapisa o identitetu pojedinaca potresla je digitalni svijet. Tvrtka IDMerit, globalni pružatelj usluga verifikacije identiteta, našla se u središtu skandala nakon što su istraživači otkrili da je njihova golema baza podataka bila potpuno nezaštićena na internetu, bez osnovne lozinke.
Baza podataka od otprilike jednog terabajta sadržavala je iznimno osjetljive informacije korištene za "Know Your Customer" (KYC) provjere, uključujući puna imena, kućne adrese, datume rođenja, nacionalne identifikacijske brojeve, brojeve telefona i email adrese. Ovi podaci potječu od pojedinaca iz najmanje 26 zemalja, a curenje je posebno pogodilo Europu, s desecima milijuna zapisa iz Njemačke (oko 61 milijun), Italije (oko 53 milijuna) i Francuske (oko 53 milijuna).
Kakve su posljedice za pogođene građane?
Izloženi podaci, koji uključuju nacionalne identifikacijske brojeve, brojeve vozačkih dozvola i detalje putovnica, otvaraju vrata ozbiljnim zlouporabama. Stručnjaci za kibernetičku sigurnost upozoravaju na rizike od krađe identiteta, sofisticiranih phishing napada i preuzimanja kontrole nad korisničkim računima putem tzv. "SIM swapping" napada. S obzirom na to da su podaci korišteni za KYC provjere, kriminalci ih mogu iskoristiti za otvaranje lažnih bankovnih računa ili zaobilaženje sigurnosnih provjera na drugim servisima.
Problem ovakvih usluga je što stvaraju upravo onu vrstu "mednog lonca" koju bi trebale štititi, koncentrirajući ogromnu količinu najosjetljivijih podataka na jednom mjestu, što ih čini neodoljivom metom za napadače i dovodi u pitanje sigurnost centraliziranog prikupljanja identitetskih dokumenata.
Odgovornost kompanije i pravni okvir u Europi
Zanimljivo je da je tvrtka IDMerit negirala incident, tvrdeći da njihovi sustavi nikada nisu bili ranjivi i da je "etički haker" koji je otkrio propust tražio novac za dokaze, što su protumačili kao pokušaj iznude. Unatoč poricanju, budući da IDMerit obrađuje podatke građana EU-a, podliježe Općoj uredbi o zaštiti podataka (GDPR). Prema GDPR-u, tvrtkama za ovakve propuste prijete kazne do 20 milijuna eura ili 4% ukupnog godišnjeg prometa. Pogođeni građani također imaju pravo tražiti odštetu za materijalnu ili nematerijalnu štetu.
Iako za sada nema službenog upozorenja hrvatske Agencije za zaštitu osobnih podataka (AZOP) vezano za ovaj slučaj, agencija je u posljednje vrijeme vrlo aktivna te je izrekla značajne kazne u drugim slučajevima curenja podataka, što signalizira strogi nadzor nad provedbom GDPR-a u Hrvatskoj. U međuvremenu, dok se raspravlja o odgovornosti, podaci milijarde ljudi ostaju potencijalno izloženi, a cijelu situaciju dodatno je zakomplicirala i pojava članaka koji tvrde da je priča lažna vijest.