Anonymous razkril imena moderatorjev spletne strani Nove24

Kot smo poročali v petek, je hekersko gibanje Anonymous objavilo povezavo do zaupnih podatkov spletnega portala Nove24. Na Novi24 so danes pojasnili, da gre za staro varnostno kopijo strežnika in napovedali kazensko ovadbo proti neznanim storilcem. Pri informacijskem pooblaščencu so medtem že začeli postopek ugotavljanja morebitnih kršitev varnosti osebnih podatkov.

Na spletni strani Nove24 so zapisali, »da je Anonymous v roke dobil staro varnostno kopijo spletne strani,«  kar je v pogovoru za Delo predvidel tudi Matej Kovačič. V bazi se nahajajo tudi gesla, vendar v šifrirani obliki oziroma v obliki tako imenovanih kontrolnih vsot, zato njihova neposredna zloraba ni mogoča, so zatrdili.

Po njihovih navedbah so se v rokah skupine Anonymous, ki je povezavo do podatkov objavila na Twitterju, znašli stari članki, fotografije člankov, priponke, komentarji spletnih uporabnikov in njihovi identifikacijski podatki (ID). »Ker od februarja 2020 za komentiranje uporabljamo sistem Disqus, elektronska pošta in IP-naslovi uporabnikov niso več v celoti vidni in so posledično bolje zavarovani,« so pojasnili. Napovedali so, da bodo podali kazensko ovadbo in poskrbeli, da se podatki čim prej umaknejo s spleta.

Medtem je po spletu zaokrožil iz objavljenega materiala pridobljen spisek domnevnih moderatorjev spletne strani Nove24, na katerem v oči bode zlasti ime vidnega člana stranke SDS Mira Petka. 
 

Domnevne kršitve Splošne uredbe EU o varstvu podatkov

Informacijska pooblaščenka Mojca Prelesnik je ob tem za STA pojasnila, da so pri njih po uradni dolžnosti konec tedna že začeli postopek ugotavljanja morebitnih kršitev, saj so iz medijev izvedeli za varnostni incident. Doslej sicer še niso prejeli nobene prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov.

Kot je pojasnila Prelesnikova, je upravljavec portala o tovrstni kršitvi dolžan obvestiti informacijskega pooblaščenca, in sicer najpozneje v 72 urah po seznanitvi s kršitvijo. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, uredba o varstvu podatkov GDPR zahteva, da upravljavec o kršitvi neposredno obvesti zadevne posameznike in da to stori brez odlašanja.

Informacijski pooblaščenec po prejemu prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov tega prouči in če ugotovi, da je šlo za kršitev uredbe GDPR ali zakona o varstvu osebnih podatkov, po uradni dolžnosti uvede inšpekcijski postopek, nadaljnji ukrepi pa so odvisni od ugotovitev inšpekcijskega postopka. Informacijski pooblaščenec lahko na podlagi teh ugotovitev upravljavcu denimo odredi sprejem ukrepov, s katerimi se izboljša ali zagotovi varnost osebnih podatkov, poleg tega pa lahko v primeru ugotovljenih kršitev uvede postopek o prekršku in/ali poda kazensko ovadbo na primer zaradi zlorabe osebnih podatkov ali napada na informacijski sistem.

Posameznik, katerega osebni podatki so bili nezakonito javno objavljeni, lahko na podlagi uredbe GDPR od upravljavca zahteva izbris svojih osebnih podatkov, kršitev pa lahko prijavi tudi informacijskemu pooblaščencu. Če je bila posamezniku zaradi nezakonite objave osebnih podatkov povzročena škoda, lahko od povzročitelja zahteva tudi odškodnino, o čemer odloča krajevno pristojno sodišče.