un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
« Google îmbunătățește apelurile video simulând vocea în momentele de întrerupere
Știri despre tehnologie și coronavirus și criză – 8 aprilie 2020 »
Un cititor îmi semnalează că, pe forumul RaidForums, cineva vinde un dump de date de la Sameday, mai exact “a month’s worth of logs”.
Așa o fi.
Este acolo și un sample de date și acestea includ numele, adresa și telefonul expeditorului, al destinatarului, numărul de AWB și alte mențiuni de la livrarea pachetului, de exemplu retur cash, cum a decurs livrarea șamd.
Nu vreau să dau linkuri spre asta (găsiți căutând în Google, dacă chiar vă interesează) și nici să arăt datele personale ale cuiva pe net, așa că am editat un screenshot. Datele arată ca mai jos:
Probabil că Sameday va primi o amendă mărișoară pe partea de GDPR.
Problema este următoarea: treaba principală a curierilor este legată de mutat colete din A în B cu ajutorul mașinilor. Transport rutier. Pentru ei, partea de sisteme digitale este una de susținere a activității, dar nu cea în care sunt specializați.
Din acest motiv, probabil că nici un curier din România nu stă bine pe partea de securitate a datelor și serverelor proprii. Sper că ceea ce vedeți acum să fie un semnal de alarmă pentru toți din domeniu că ar fi cazul să investească foarte rapid și mult în audituri de securitate și apoi în securizarea sistemelor proprii.
Nu de alta, dar aceste companii știu că acum două luni ai comandat de 850 de lei de la un sex-shop sau că primești multe colete de la Elefant sau eMAG sau că firma ta tot schimbă plicuri cu firma cealaltă. Și poate nu vrei să afle și alții astfel de lucruri.
« Google îmbunătățește apelurile video simulând vocea în momentele de întrerupere
Știri despre tehnologie și coronavirus și criză – 8 aprilie 2020 »
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Copyright © 2006 - 2020 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
36 comentarii
07/04/2020 la 6:33 PM
Ai anunțat și la Sameday?
Pyro(Citează)
07/04/2020 la 6:42 PM
@pyro, o sa anunte Orban si Ciocannis in urmatoarea Ordonanta Militara.
ionica(Citează)
07/04/2020 la 7:47 PM
Nu vad relevanta raspunsului tau.
Pyro(Citează)
07/04/2020 la 6:45 PM
Tu ai blurat datele personale, dar dacă scrii “raidforums sameday” pe google, fix la postare ajungi.
Vasile R(Citează)
07/04/2020 la 7:47 PM
Eu am testat cu “dump date sameday” și tot acolo ajungeam. Nu pot ascunde sursa, doar nu vreau să o promovez eu.
nwradu(Citează)
07/04/2020 la 6:47 PM
De ce sa fie amendati?
Daca un hacker fura date de la vodafone e o problema de gdpr?
E ca si cum intra un hot in arhiva unei banci, fura dosarele de credit si banca primeste amneda gdpr.
Ionutb(Citează)
07/04/2020 la 7:07 PM
Esti superficial ;). Ei sunt custodienii datelor personale si sunt responsabili 100% de stocarea/manipularea lor in conditii de securitate maxima. E treaba lor sa se asigure ca acestea nu devin publice.
Alexandru(Citează)
07/04/2020 la 7:10 PM
da, dacă un hacker fură date de la Vodafone e o problemă de GDPR a Vodafone, că nu s-a asigurat de privacy by design.
analog, dacă intră în arhiva băncii și fură date cu caracter personal de acolo, iarăși, banca e pasibilă de amendă că nu s-a asigurat de protecția datelor.
my2c
Gabi Udrescu(Citează)
07/04/2020 la 6:53 PM
La prima vedere nu pare ca are legatura cu GDPR, pare un hacking. Poti avea toate sistemele puse la punct conform normelor GDPR, nu inseamna nicio secunda ca sunt 100% safe / impenetrabile.
Andreea(Citează)
07/04/2020 la 8:19 PM
Bai, daca anonimizarea datelor nu va zice nimic nu mai comentați despre gdpr.
Ady(Citează)
07/04/2020 la 9:22 PM
ce ar trebui sa zica anonimizarea datelor in cazul asta? datele nu trebuie stocate anonimizat lol
Andrei(Citează)
07/04/2020 la 9:38 PM
Lucrezi la sameday departamentul IT, nu? Pai daca le-ar fi avut anonimizate baza aia de date nu reprezenta nimic pt orice hacker. Dar hei, nu trebuie stocate asa (așa au zis și cei de la sameday, facepalm) … contează cum e best practice omule.
Ady(Citează)
08/04/2020 la 12:06 AM
Ady, nu stiu unde lucreaza interlocutorul, dar sper ca tu nu lucrezi in nici un departament de IT. Faci diferenta intre anonimizare si encriptare? Sau tu astepti pachetul sa iti fie livrat la un sha256 din adresa ta?
Boris(Citează)
07/04/2020 la 7:27 PM
La livratori cel mai ciudat mi se pare ca pun pe colete toate detaliile livrarii in print greu de scos, etc.
KMean(Citează)
07/04/2020 la 10:31 PM
+1
Si eu sunt genul care da jos awb urile, daca nu merge sa il dau jos pe tot cel puțin datele mele si nr de tracking ma asigur ca nu mai sunt lizibile.
In plus am înțeles ca daca cartonul nu e curat nu il reciclează deci ar trebui sa găsească ceva metodă mai ok
Tom(Citează)
07/04/2020 la 8:29 PM
Sa las aici comentariul despre cat de “profesionisti” sunt astia de la Sameday, cand ajung sa bage la telefon faze cu
– “nu putem livra la EasyBox asa cum ati achitat, va sugeram sa cereti retur, sa refaceti comanda si sa specificati cu livrare la domiciliu”
– Pai am achitat un produs si un serviciu de livrare la EasyBox-ul vostru, nu e o masina de spalat ci un colet de 500 grame
– Nu putem sa va livram la adresa fara costuri suplimentare
Drept urmare coletul meu zace de 2 zile la ei in depozit. Retur solicitat, dar ce sa vezi “datorita volumului mare de comenzi procesarile dureaza”
Carry on…
Thomas(Citează)
11/04/2020 la 2:48 PM
pai si de ce nu pot livra? daca e din cauza ca easybox-ul este plin, trebuie sa multumesti oamenilor care nu ai le ridica la timp. lipseste ceva din ce zici.
zup(Citează)
07/04/2020 la 9:45 PM
Cea mai nasoala parte e că adresele de acasă a multor oameni tocmai a ajuns publică pe net.
Em(Citează)
07/04/2020 la 9:49 PM
Și cum identifici clienții și awb-urile, Gigele? Datele trebuie anonimizate in anumite contexte nu mereu.
Andrei(Citează)
07/04/2020 la 10:02 PM
De encriptarea bazei de date pe info sensibile ai auzit? La cum arata mostra aia de date cred ca a intrat in BD ca intr-un supermarket, a luat si a plecat fara sa plateasca.
Bogdan(Citează)
07/04/2020 la 10:09 PM
Relaxativa, nu o sa primeasca nici o amenda, sau cel mult una simbolica de vreo 100 euro, ce ati vazut voi sa fie controlati macar astia de la Emag? Aia is oameni cinstiti acolo nu se incalca legea. La concurenta e problema, aia da, dar nu la Emag &co.
dan(Citează)
07/04/2020 la 10:13 PM
Altu care e alfabet multifunctional. Noi vorbim de anonimizare nu de criptarea bazei de date.
Imi place ca, pornind de la un json , care e clar raspunsul unui request, tu ai ajuns la concluzia ca aia au “intrat in BD ca intr-un supermarket” :))) Gogule, daca esti pe langa, mergi in treaba ta si nu te baga in seama aiurea ca nu faci decat sa semnalizezi.
Andrei(Citează)
07/04/2020 la 10:14 PM
asta era pentru @Bogdan
Andrei(Citează)
07/04/2020 la 11:08 PM
+ 1
asta cu “intrat in BD ca intr-un supermarket” e praf total
Ca si cu covidu, toti isi dau cu parerea, toti is doctori , toti stiu ei mai bine
vreun endpoint fara autorizare pe undeva, gen … care inca e acolo :-)
arhimede(Citează)
08/04/2020 la 12:08 AM
gdm(Citează)
08/04/2020 la 12:09 AM
Encriptare?
gdm(Citează)
08/04/2020 la 12:10 AM
Security breach, dar nu vad ce legatura are GDPR-ul cu asta. Cat timp sunt implementate prevederile GDPR (right to erasure, right to data portability, etc) sunt OK.
Sol(Citează)
08/04/2020 la 12:59 AM
Facepalm…
Costin(Citează)
08/04/2020 la 1:02 AM
De confidențialitatea datelor ai auzit ceva în același context cu gdpr? Sunt curios toți habarnistii ăștia ați și implementat ceva legat de gdpr sau doar va dați cu părerea pe net
Costin(Citează)
08/04/2020 la 9:43 AM
Apropo de GDPR … sunt singurul care a primit un colet care probabil mai fusese expediat catre alt client inainte? Se pare ca fostul client nu l-a primit iar cei de la emag au lipit awb-ul meu peste cel vechi. Hartia fiind lucioasa, AWB-ul meu s-a dezlipit destul de usor si am putut sa vad numele / adresa / numarul de telefon ale fostului client. Am putea spune ca e un caz izolat, dar totusi stau sa ma gandesc ca acel angajat nu este platit sa lipeasca un singur awb si daca din lipsa de interes nu a dezlipit awb-ul vechi in cazul meu, va actiona la fel pana in momentul in care va fi atentionat.
Alexandru(Citează)
08/04/2020 la 9:20 AM
Pentru toti cei care nu cred ca are legatura cu GDPR cat de greu e sa cauti “GDPR data breach”…
Ciprian(Citează)
08/04/2020 la 9:31 AM
Hai, arata-ne tu mai bine.
https://gdpr-info.eu/art-34-gdpr/
Tot gasesc eu in GDPR-ul despre breach-uri este ca esti obligat sa notifici subiectii si autoritatea de supraveghere.
Sol(Citează)
08/04/2020 la 9:36 AM
Cu ce te ajuta in cazul de fata criptarea avand in vedere ca print-screen-ul arata un json? Cel mai probabil vreun API este cu problema la ei in infrastructura pe care cineva l-a interogat cum trebuie. E cel mai posibil chiar sa fie treaba de interior, imi e greu sa cred ca API-ul acesta cu nivelul de acces full sa fie expus la net.
ZuLu(Citează)
08/04/2020 la 9:50 AM
Am un feeling ca este usor de generat/intuit numere de AVB cu care poti interoga API-ul.
Razvi(Citează)
08/04/2020 la 1:13 PM
Cred ca exista mai multe niveluri de drepturi pe API-ul de interogare cu AWB. Poti sa incrementezi AWB-urile pe site-ul public de tracking si ai sa vezi ca functioneaza doar ca datele sunt limitate. Pentru nivelul care se vede in json trebuie acces din interior sau interogare de la curier, probabil.
Eu cred ca e ceva din interior, spre 100%
ZuLu(Citează)
08/04/2020 la 10:28 AM
SOMEDAY este al lui eMAG.
Care eMAG se plangea de curieri ca nu au destule capacitati de livrare, ca nu se dezvolta.
Deci eMAG prefera sa se planga prin ziare in loc sa investeasca in firma de curierat pe care o detine.
Evident eMAG nu va intelege nici acum ca bresa de securitate la curierul pe care il detin este exclusiv responsabilitatea lor.
Gaelex(Citează)