Kot smo poročali v petek, je hekersko gibanje Anonymous objavilo povezavo do zaupnih podatkov spletnega portala
Nove24. Na N
ovi24 so danes pojasnili, da gre za staro varnostno kopijo strežnika in napovedali kazensko ovadbo proti neznanim storilcem. Pri informacijskem pooblaščencu so medtem že začeli postopek ugotavljanja morebitnih kršitev varnosti osebnih podatkov.
Na spletni strani
Nove24 so zapisali, »da je Anonymous v roke dobil staro varnostno kopijo spletne strani,« kar je v pogovoru za
Delo predvidel tudi
Matej Kovačič. V bazi se nahajajo tudi gesla, vendar v šifrirani obliki oziroma v obliki tako imenovanih kontrolnih vsot, zato njihova neposredna zloraba ni mogoča, so zatrdili.
Miro Petek, viden član in nekdanji poslanec stranke SDS, je domnevno administrator portala Nova24. FOTO: Aleš Černivec/Delo
Po njihovih navedbah so se v rokah skupine Anonymous, ki je povezavo do podatkov objavila na Twitterju, znašli stari članki, fotografije člankov, priponke, komentarji spletnih uporabnikov in njihovi identifikacijski podatki (ID). »Ker od februarja 2020 za komentiranje uporabljamo sistem
Disqus, elektronska pošta in IP-naslovi uporabnikov niso več v celoti vidni in so posledično bolje zavarovani,« so pojasnili. Napovedali so, da bodo podali kazensko ovadbo in poskrbeli, da se podatki čim prej umaknejo s spleta.
Medtem je po spletu zaokrožil iz objavljenega materiala pridobljen
spisek domnevnih moderatorjev spletne strani
Nove24, na katerem v oči bode zlasti ime vidnega člana stranke SDS
Mira Petka.
Domnevne kršitve Splošne uredbe EU o varstvu podatkov
Informacijska pooblaščenka Mojca Prelesnik je ob tem za
STA pojasnila, da so pri njih po uradni dolžnosti konec tedna že začeli postopek ugotavljanja morebitnih kršitev, saj so iz medijev izvedeli za varnostni incident. Doslej sicer še niso prejeli nobene prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov.
Mojca Prelesnik, Informacijska pooblaščenka. FOTO: Leon Vidic/Delo
Kot je pojasnila Prelesnikova, je upravljavec portala o tovrstni kršitvi dolžan obvestiti informacijskega pooblaščenca, in sicer najpozneje v 72 urah po seznanitvi s kršitvijo. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, uredba o varstvu podatkov GDPR zahteva, da upravljavec o kršitvi neposredno obvesti zadevne posameznike in da to stori brez odlašanja.
Informacijski pooblaščenec po prejemu prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov tega prouči in če ugotovi, da je šlo za kršitev uredbe GDPR ali zakona o varstvu osebnih podatkov, po uradni dolžnosti uvede inšpekcijski postopek, nadaljnji ukrepi pa so odvisni od ugotovitev inšpekcijskega postopka. Informacijski pooblaščenec lahko na podlagi teh ugotovitev upravljavcu denimo odredi sprejem ukrepov, s katerimi se izboljša ali zagotovi varnost osebnih podatkov, poleg tega pa lahko v primeru ugotovljenih kršitev uvede postopek o prekršku in/ali poda kazensko ovadbo na primer zaradi zlorabe osebnih podatkov ali napada na informacijski sistem.
Posameznik, katerega osebni podatki so bili nezakonito javno objavljeni, lahko na podlagi uredbe GDPR od upravljavca zahteva izbris svojih osebnih podatkov, kršitev pa lahko prijavi tudi informacijskemu pooblaščencu. Če je bila posamezniku zaradi nezakonite objave osebnih podatkov povzročena škoda, lahko od povzročitelja zahteva tudi odškodnino, o čemer odloča krajevno pristojno sodišče.
Komentarji