Pred pár dňami sme publikovali článok na tému o uniknutých dátach užívateľov spoločnosti Mall.cz, kde český Úrad na ochranu osobných údajov udelil spoločnosti pokutu vo výške 1,5 milióna korún (v prepočte necelých 60 000 eur). Táňa Lálová nás kontaktovala v mene spoločnosti a zareagovala na informácie, ktoré zazneli na ich adresu. Reakciu pridávame v pôvodnom znení a bez úprav / prekladu.
Komentář Mall.cz k uložení pokuty:
„Nijak nezpochybňujeme závažnost samotného úniku, bezpečnost dat uživatelů je pro nás prvořadá. Proto jsme v době úniku přijali bez odkladu opatření sahající nad rámec zákonných povinností (mj. preventivní resetování hesel všech uživatelů) a plně spolupracovali s Úřadem pro ochranu osobních údajů.“
„Se stanoviskem Úřadu pro ochranu osobních údajů jsme se seznámili, avšak nemůžeme se ztotožnit s jeho závěry. Po formální stránce celé věci tak, jak sám formuluje skutkovou podstatu je definice přestupku nejednoznačná. Hlavně proto, že přestupek může být spáchán i v případě, že k žádnému úniku nedojde, nebo naopak, může dojít k úniku, ale nemusí jít o přestupek. Zákon tedy namísto příspěvku k vyšší transparentnosti kontrole dat v kyberprostoru přispívá k nejednoznačnosti.“
Dovolím si ještě připojit stručné shrnutí informací o úniku dat, najdete je například také zde: https://www.lupa.cz/aktuality/mall-cz-resetuje-hesla-k-casti-databaze-se-mohli-dostat-hackeri/
Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014. Po zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány. Z bezpečnostních důvodů jsme zvolili širší skupinu uživatelů, kterým jsme heslo resetovali. Jedná se zhruba o 1,3 milionu účtů.
Víme, že uniklá data následně útočník dále zpracovával a prováděl prolomení jednotlivých hesel.
Přístupové údaje jsou od listopadu 2012 chráněny hashovací metodou SHA1 + unikátní solí. Od října 2016 pak jednou z nejsilnějších hashovací metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou, a většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.
Mall.cz / Táňa Lálová, PR a komunikace
Pôvodný článok, na ktorý je uvedená reakcia si prečítate tu: Český Úrad na ochranu osobných údajov udelil spoločnosti Internet Mall, a.s. pokutu 1,5 milióna korún
