11,46 mln zł kary dla #DPD Polska

"Za naruszenie przepisów RODO polegające na niezawarciu umowy powierzenia przetwarzania danych osobowych, PUODO nałożył karę na administratora w kwocie 6,251 mln zł. Za drugie naruszenie, polegające na niewdrożeniu środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, Prezes UODO nałożył na administratora karę w kwocie 5,209 mln zł."

#dpd #kurier #kurierzy #logistyka #kara #uodo #puodo #dpdpolska
https://uodo.gov.pl/pl/138/4075

Sprawca wycieku danych Morele.net zatrzymany po ośmiu latach śledztwa

Ile lat zajmuje dojście do sprawcy wycieku danych ponad dwóch milionów klientów? W Polsce – prawie osiem.

Czytaj dalej:
https://pressmind.org/sprawca-wycieku-danych-morelenet-zatrzymany-po-osmiu-latach-sledztwa/

#PressMindLabs #art267kk #cbzc #ecommerce #morelenet #uodo

Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

Przywykliśmy do tego, że kamery i monitoring pojawiają się w różnych miejscach. Taksówkach, autobusach, budynkach, garażach, aptekach, a nawet osiedlowych sklepach. I większość osób nie ma z kamerami problemu, bo zakłada że do nagrań sięga się tylko “po przestępstwie”. Aby sprawdzić kto coś zniszczył, ukradł, napadł. A co, gdybyśmy Wam powiedzieli, że klientów Żabki obserwować mógł każdy?
Ah, ten monitoring…
Wiemy z własnych obserwacji, że instalowanie systemów monitoringu w wielu miejscach w Polsce jest beztroskie. Rejestratory często są montowane w publicznie dostępnych miejscach, co naraża je na atak fizyczny. A jak są schowane, to dostęp do nich nierzadko odbywa się po sieci Wi-Fi (rozgłaszanej z routera podłączonego wprost do rejestratora), przy czym nazwa sieci jest tak nieprzewidywalna jak np. “kamery“.
Bywa też, że rejestrator jest podłączony do internetu, a dostęp do niego jest możliwy od strony sieci publicznej przez każdego, jeśli nie zadbano o odpowiednią konfigurację… Z kronikarskiego obowiązku musimy tu jednak dodać uwagę techniczną: uzyskanie dostępu do profesjonalnego monitoringu wymaga odpowiedniej aplikacji. Trzeba w niej podać adres IP, port, login i hasło. Ale problem w tym, że porty często są standardowe, loginy często są domyślne (w rodzaju “user” lub “admin”), a hasła często bywają bardzo oczywiste (np. adres1234) bądź łatwe do “wyliczenia”.
Czy podglądania tak źle skonfigurowanych instalacji monitoringu wizyjnego może być problemem? Opowiemy o tym na dwóch przykładach.
Monitoring w tajemniczej Żabce
W zeszły poniedziałek jeden z naszych Czytelników dał nam znać, że monitoring pewnego sklepu “Żabka” jest dostępny publicznie na określonym numerze IP, z loginem “admin” [...]

#Żabka #CCTV #Interparking #Monitoring #RODO #UODO

https://niebezpiecznik.pl/post/monitoring-wizyjny-cctv-publicznie-dostepny-zabka/

Wyciekły dane osób zamawiających jedzenie przez internet

Jeśli zamawialiście kiedykolwiek jedzenie online w serwisie NaWynos.elblag.pl to niestety mamy dla Was smutną informację. Można było pobrać dane wszystkich osób, które od 2011 roku korzystały z usług tego serwisu, a zdaniem administratora portalu, to nie jest duży problem i nie są to dane w żaden sposób wrażliwe.
Co i jak wyciekło?
O sytuacji poinformował nas Hubert z agencji ztl.agency, który szukał dla siebie jakiejś opcji zamówienia jedzenia w Elblągu. I znalazł serwis NaWynos.elblag.pl, ale mając specyficzne zawodowe przyzwyczajenia, postanowił przed złożeniem zamówienia “zajrzeć w konsolę”. Wkrótce ustalił, że ten serwis ma endpoint, pod który można, bez zalogowania, wysłać …numer zamówienia i w odpowiedzi otrzymać informacje na temat tego zamówienia.
Sprawdziliśmy. Ustalenia Hieronima się potwierdziły.

Okazało się, że przechowywane są dane zamówień sprzed wielu lat. Nam udało się dotrzeć do zamówienia nr 1500 z 2011 roku.
Najwyższy numer zamówienia jaki trafiliśmy to 600605. Uwaga – nie wszystkie identyfikatory z tego zakresu (1500-600605) zwracały jakąś odpowiedź, choć większość zwracała. Trudno ocenić faktyczny rozmiar wycieku bez masowego odpytywania, a tego robić nie chcieliśmy.

Chcesz nauczyć się atakować i zabezpieczać aplikacje webowe?
Weź udział w naszym 2 dniowym, praktycznym szkoleniu pt. “Atakowanie i Ochrona Webaplikacji” dzięki któremu dowiesz się jak wykrywać błędy w serwisach internetowych, niezależnie od języka/frameworka w którym zostały one stworzone. Najbliższe terminy tego szkolenia znajdziesz poniżej:

Kraków: 20-21 listopada 2025r. — UWAGA: zostało tylko 1 wolne miejsce
Ostatnio ktoś zarejestrował się 12 listopada 2025r. → zarejestruj się na to szkolenie
[...]

#UODO #Wycieki #WyciekiDanych

https://niebezpiecznik.pl/post/wyciekly-dane-osob-zamawiajacych-jedzenie-przez-internet/

Sekurak patronem medialnym konferencji Nowe Horyzonty Biometrii

Już 26 listopada 2025 r. odbędzie się konferencja „Nowe Horyzonty Biometrii„, inicjatywa poświęcona odpowiedzialnemu i świadomemu wykorzystaniu technologii biometrycznych. Wydarzenie organizowane przez Urząd Ochrony Danych Osobowych oraz Fundację AI One Health zgromadzi przedstawicieli administracji, nauki, biznesu, medycyny oraz organizacji społecznych, tworząc unikatową przestrzeń do rozmowy o bezpieczeństwie, etyce i przyszłości...

#WBiegu #Biometria #Konferencja #Uodo

https://sekurak.pl/sekurak-patronem-medialnym-konferencji-nowe-horyzonty-biometrii/

W przyszły czwartek będę opowiadać o tym, w jaki sposób należy weryfikować procesorów (lub potencjalnych procesorów), by nie narażać na problemy ani siebie, ani naszego kontrahenta. Jest to problem, z którym mierzą się najwięksi administratorzy danych (przypominam o karze Prezesa #UODO dla McDonald’s Polska Sp. z o.o.).

Link do zapisów: https://audytelsa.clickmeeting.com/217654542/register

Policja nie może przechowywać danych bez wyraźnego celu – ważny wyrok NSA

W 2020 roku młody mężczyzna, znany jako JK, starał się o przyjęcie do służb mundurowych. Napotkał jednak problem – w Krajowym Systemie Informacyjnym Policji (KSIP) nadal widniały informacje o postępowaniu karnym toczącym się dwa lata wcześniej. JK był podejrzany o spowodowanie wypadku komunikacyjnego, ale jego sprawę umorzono. Mężczyzna, który od tamtego czasu nie złamał prawa, zwrócił się do Komendanta Głównego Policji o usunięcie niekorzystnych danych z KSIP i… otrzymał odmowę. Postanowił zaskarżyć tę decyzję do UODO i w ten sposób rozpoczął się bardzo ciekawy, pięcioletni spór o prawo do ochrony danych osobowych.
Jak długo Policja może przechowywać Twoje dane?
Nie dłużej, niż to potrzebne. Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości rolą administratora danych jest m.in. zapewnienie, aby dane osobowe były przetwarzane w konkretnych i uzasadnionych celach oraz adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane.
W swojej decyzji Prezes UODO tłumaczy, że
ustalenie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być przetwarzane
W przypadku JK, umorzenie postępowania przeciw niemu nastąpiło w listopadzie 2019 roku. Dla prezesa UODO sprawa była jasna — dalsze przetwarzanie danych JK jest zbędne. PUODO zatem nakazał ich usunięcie.
Ale Komendant Główny Policji pozostawał przy swoim stanowisku i uzasadniał, że tylko on lub upoważnione przez niego organy mają prawo weryfikować dane osobowe zgromadzone w KSIP pod kątem przydatności do realizacji zadań Policji, a Prezes UODO nie ma takiej władzy. Zaskarżył więc decyzję najpierw do Wojewódzkiego, a następnie Naczelnego Sądu [...]

#DaneOsobowe #NSA #Policja #UODO

https://niebezpiecznik.pl/post/policja-nie-moze-przechowywac-danych-bez-wyraznego-celu-wazny-wyrok-nsa/