Menu dostępności

Zestawienie tygodniowe 9 – 16 grudnia

Cały czas pojawiają się nowe informacje o atakach ransomwarowych na miasta w USA. W piątek przestały pracować systemy miejskie w Nowym Orleanie. To drugi cyberatak w ciągu kilku dni: kolejny został zgłoszony w mieście Pensacola na Florydzie w zeszłym tygodniu. W połowie listopada ofiarą ransomware padło Biuro ds. Pojazdów Samochodowych w Luizjanie.

W sobotę Urzędnicy Nowego Orleanu poinformowali, że nie było żądań dotyczących okupu i że operacja odzyskiwania danych już się rozpoczyna. Kim LaGrue, dyrektor ds. Informacji, przemawiający na konferencji prasowej z burmistrzem LaToyą Cantrella, powiedział, że miasto nie otrzymało wiadomości od hakerów ani nie otrzymało innych żądań.

NOLA.com poinformowało, że LaGrue określił cyberatak jako „minimalny” i że urzędnicy oczekują szybkiego przejścia do pełnego przywrócenia komputerów do trybu online. NOLA.com donosi, że dokładny charakter i zasięg ataku jest niejasny. Dodał, że około 4000 komputerów będzie musiało zostać oczyszczonych jako środek ostrożności i że dotyczy to również 400 serwerów. Urzędnicy podkreślili, że kopie danych finansowych miasta są archiwizowane w systemie chmurowym.


Rekordowe kary GDPR/RODO

Niemiecki federalny komisarz ds. Ochrony danych i wolności informacji (BfDI) uderzył w dostawcę usług telefonii komórkowej 1&1 Telecommunications, nakładając wysoką grzywnę za naruszenie RODO. Grzywna w wysokości 9,55 mln EUR (10,65 mln USD) jest jedną z największych do tej pory związaną z RODO i wynika z faktu, że BfDI stwierdził, że firma nie egzekwowała art. 32 prawodawstwa europejskiego, który wymaga od przedsiębiorstw podjęcia odpowiednich środków technicznych i organizacyjnych, aby chronić przetwarzanie danych osobowych.

Zgodnie z ustaleniami BfDI osoby dzwoniące do centrów telefonicznych 1&1 Telecommunications mogą odkryć dane osobowe klientów, podając po prostu imię i datę urodzenia, co oznacza, że dane osobowe nie były odpowiednio chronione. Federalny komisarz Ulrich Kelber uznał grzywnę za „wyraźny znak”, że RODO będzie skutecznie egzekwowane w Niemczech.

1&1 Telecommunications jest jednym z największych w Niemczech dostawców usług DSL i usług mobilnych. Jest spółką zależną od dostawcy sieci 1&1 Drillisch, który ma 14 milionów klientów. BfDI pochwalił 1&1 za przejrzystość i współpracę. Od czasu dochodzenia w sprawie braku ochrony danych dostawca dodał dodatkowy krok w celu uwierzytelnienia osoby dzwoniącej przed uzyskaniem informacji o kliencie. BfDI powiedział jednak „pomimo tych środków nałożenie grzywny było konieczne”.

W tym samym dniu, w którym BfDI wydało grzywnę w stosunku do 1&1, niemiecki komisarz ogłosił również, że nakłada karę na dostawcę usług internetowych Rapidata w wysokości 10 000 EUR (11 110 USD) w osobnej sprawie za brak zapewnienia inspektora ochrony danych, zgodnie z wymogami RODO.

Największa do tej pory grzywna orzeczona została w Wielkiej Brytanii. Biuro Komisarza ds. Informacji (ICO) nałożyło na British Airways rekordową grzywnę w wysokości 183 mln GBP (240 mln USD) za „słabe ustalenia w zakresie bezpieczeństwa”, które doprowadziły do kradzieży danych osobowych pół miliona klientów przez hakerów w cyberataku ujawnionym 20-tego września br.


Kary RODO w Polsce

W Niemczech rekordowa kara, a tymczasem w Polsce Wojewódzki Sąd Administracyjny w Warszawie uchylił grzywnę dla Bisnode Polska. Była to pierwsza i jednocześnie najwyższa do tej pory kara nałożona w związku z ochroną danych osobowych.

Póki co nie mamy dostępu do uzasadnienia wyroku, a więc nie będziemy się na ten temat wypowiadać. W sumie mamy w Polsce 5 kar RODO. W kolejce do unieważnienia są kontrowersyjne orzeczenia dla Morele i ClickQuickNow. Oczywiście będzie decydować sąd, ale może się okazać, że mecz skończy się hokejowym wynikiem: UODO-zero, Ukarani a uniewinnieni-pięć.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...