17 tysięcy rekordów na CD, ale w kontekście telemarketingu

Polskie media piszą, że wyciekły dane klientów banków. Siedemnastu tysięcy klientów. Imiona, nazwiska, daty urodzin, adresy, numery telefonów oraz kont bankowych - to wszystko miało zostać sprzedane przez jedną z firm z Nadrenii Północnej-Westfalii, a same dane miały zostać użyte do ataków na konta bankowe. Trochę poszukałem i nie jestem pewny, ale w Niemczech płyta CD stanowi ilustrację problemu zwiększającej się aktywności telemarketingu i dyskusji na temat nowelizacji prawa konsumentów.

O sprawie pisze Gazeta Wyborcza w tekście Niemcy: Wyciekły poufne dane 17 tysięcy klientów banków, w którym powołuje się na niemiecki dziennik "Bild", który zaś powołuje się na urząd ochrony konsumentów w Szlezwiku-Holsztynie. No to szukam (chociaż nie znam niemieckiego, a mam do dyspozycji tylko automaty tłumaczące, które - jak wiadomo - nie są doskonałe). Znalazłem: Die Verbraucherzentrale Schleswig-Holstein - tu jest notatka prasowa: Callcenter sind im Besitz von Kontodaten Verbraucherzentrale Schleswig-Holstein deckt Datenmissbrauch auf.

Notatka urzędu nie jest wybitnie alarmująca (albo ja nie rozumiem kontekstu). Po prostu dysk z arkuszami programu Excel stanowi tam ilustrację problemu zagrożenia danych konsumentów. Zarejestrowano przypadki pobrania pieniędzy z takich kont bankowych, czego miały dokonać przedsiębiorstwa zajmujące się hazardem. Urząd ostrzega by chronić dane i zauważa, że tylko kilka kliknięć myszki wystarczy, by takie dane wyciekły do internetu. Są też rady: należy sprawdzać konta bankowe regularnie i zgłaszać bankom wszelkie podejrzane transakcje, klasyka... Jest też link do FensterUnabhängige Landeszentrum für Datenschutz (ULD), czyli link do niezależnego centrum monitoringu problemu ochrony prywatności, które ma podjąć kroki prawne (ale wobec kogo?). Jeśli dobrze rozumiem - przy okazji tego wątku pojawiają się również odwołania do procesu legislacyjnego dotyczącego projektu nowelizacji prawa konsumentów, w którym postuluje się, by wprowadzić obowiązek potwierdzenia transakcji dokonywanych zdalnie (telefonicznie). Drugi wątek, który się pojawia przy okazji tej noweli, to kwestie regulacji niechcianej reklamy telefonicznej, nękania ludzi telefonami. Generalnie - CD z danymi konsumentów występuje w notatce przy okazji dyskusji na temat problemu telemarketingu i aktywności wszelkiej maści call centers. Jaki to ma związek z płytą CD? Tego nie rozumiem. Czy chodzi o to, że dane na CD były zebrane przez przedsiębiorstwo pozyskujące dane klientów przez telefon, a następnie przedsiębiorstwo to sprzedało komuś te dane? Jak Gazeta Wyborcza powiązała ten "news" z wyciekiem danych "klientów banków"?

Tych wszystkich wątków Gazeta Wyborcza zupełnie nie porusza. Pisze jedynie:

Jak informuje [urząd - dopisek mój VaGla], dane personalne, takie jak imiona, nazwiska, daty urodzin, adresy, numery telefonów oraz kont bankowych zostały sprzedane przez firmę z Nadrenii Północnej-Westfalii.

Gazeta nie pisze jednak jaka to firma, komu sprzedała dane i w jakich okolicznościach te dane zdobyła (czy niezgodnie z prawem?).

Zacytuję stosowny fragment z tej notatki prasowej w języku niemieckim, wydanej przez urząd w Szlezwiku-Holsztynie (gdyby ktoś mógł to fachowo przetłumaczyć, to byłoby fajnie):

Im Dunkeln blieb bislang, woher die Daten stammen. Viele Betroffene, die sich bei der Verbraucherzentrale Schleswig-Holstein beschwerten, gaben an, dass sie vor längerer Zeit SKL-Lose per Kontoabbuchung bezahlt haben. Die Verbraucherzentrale hat anonym eine CD mit über 17.000 Datensätzen erhalten. Neben dem Namen, der vollständigen Adresse mit Telefonnummer und dem vollständigen Geburtsdatum sind die kompletten Bankdaten von über 17.000 Verbrauchern auf dieser Diskette gespeichert. Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin.
„Es sind nur ein paar Mausklicks und solche Daten können kopiert, per Mail versand und somit sehr schnell öffentlich zugänglich gemacht werden, was dem Missbrauch Tür und Tor öffnet“, so Hagen weiter.

Nie jest dla mnie jasne w jakich okolicznościach znaleziono płytę z danymi i w jaki sposób rekordy konsumentów na niej się znalazły, no i kto je komu sprzedał. O tych 17 tysiącach rekordów jest również trochę w innych niemieckojęzycznych źródłach (gdyby zatem ktoś władający jęz. niemieckim zechciał przyjrzeć się problemowi i podzielić się tym, co tam znajdzie, to byłoby miło):

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

płytę przesłano no urzędu anonimowo

VaGla's picture

Alex przyjrzał się tekstowi i podesłał tłumaczenie: "Centrala Konsumentów otrzymała anonimowo CD na której było ponad 17.000 rekordów. Oprócz imienia i nazwiska, pełnego adresu z numerem telefonu i kompletną datą urodzenia zawierały one kompletne dane kont bankowych ponad 17.000 konsumentów. Nazwa pliku w którym były one zawarte wskazuje na Południowo Niemiecka Loterię". A wcześniej jest informacja, że urząd otrzymywał skargi od konsumentów (jak rozumiem - skargi na transakcje na kontach bankowych), a wielu z tych konsumentów "dawno temu zapłaciło za losy Południowo Niemieckiej Loterii (SKL)".

Skąd w Gazecie wzięła się informacja o sprzedaży danych i wycieku z banków?
--
[VaGla] Vigilant Android Generated for Logical Assassination

Próbka tłumaczenia zaznaczonego fraagmentu

Nie ustalono dotychczas skąd pochodzą te dane. Wiele poszkodowanych, którzy zgłosili się do centrali konsumenckiej w Schleswig-Holstein podało, że dłuższy czas temu zapłaciło za losy loterii SKL przy pomocy polecenia zapłaty [Kontoabbuchung nie jestem pewien, czy zasady są takie jak w Polsce - wydaje mi się, że w Niemczech nie jest potrzebny podpis/zgoda dłużnika; dlatego też są większe możliwości nadużyć - przyp. mój] . Centrala konsumencka otrzymała anonimowo płytę CD z ponad 17.000 rekordami [tj. jednostkami danych - przyp. mój]. Poza nazwiskiem, pełnym adresem z numerem telefonu i datą urodzenia na dysku zgromadzono także kompletne dane bankowe ponad 17.000 konsumentów. Nazwy plików Excel wskazują na Süddeutsche Klassenlotterie (SKL) [przedsiębiorstwo loteryjne - przyp. mój]. "Wystarczy kilka kliknięć myszą i takie dane mogą zostać skopiowane, przesłane przez maila, a tym samym udostępnione publicznie, co otwiera pole do nadużyć" kontynuuje Hager.

Lastschriftverfahren: Abbuchungsauftrag + Einzugsermächtigung

Są dwa rodzaje obciążania kont dłużników przez wierzycieli: polecenie pobrania (Abbuchungsauftrag), gdzie dłużnik składa zlecenie w banku na obciążanie jego konta przez wierzyciela i polecenie zapłaty (Einzugsermächtigung), zwana także u nas direct debit, gdzie odpowiednia zgoda jest dostarczana pisemnie wyłączenie wierzycielowi. Polecenie zapłaty można odwołać, również po dokonaniu transakcji - w Polsce osoba fizyczna w ciągu 30 dni, w Niemczech do sześciu tygodni (ale uwaga na postanowienia regulaminów banków). Po tym okresie można żądać zwrotu pieniędzy tylko udowadniając, że upoważnienie zostało odwołane.

W notce jest mowa o sprawdzaniu wyciągów i sześciotygodniowym okresie, w którym można bez podania przyczyny, więc sądzę, że chodzi o polecenie zapłaty, pomimo, że stosowane jest słowo Abbuchung. W przypadku polecenia pobrania nie ma możliwości wstecznego odwoływania transakcji, gdyż odwołanie upoważnienia w banku powinno nastąpić ze skutkiem natychmiastowym.

Dodam, że polecenie pobrania jest w Niemczech bardzo popularne przy zawieraniu wielu usług jednorazowych abonamentowych, przykładowo trudno jest zamówić usługę telefoniczną u operatorów alternatywnych (poza Deutsche Telekom) z możliwością zapłaty otrzymanego rachunku wpłatą na konto usługodawcy.

Myślę, że można powiedzieć, że odmawianie udzielenie zgody na pobranie jest uważane za formę dziwactwa. Jednym ze znanych mi przypadków odmowy udzielenia takiego upoważnienia (z zasady) był pewien dobrze sytuowany prawnik :-)

--
[S.A.P.E.R.] Synthetic Android Programmed for Exploration and Repair

Dzięki za przybliżenie

Dzięki za przybliżenie tematu - wynika z tego więc, że (potencjalnie) takie dane mają w Niemczech większą "wartość" dla potencjalnych oszustów. Brak konieczności przedkładania bankowi (bankom) upoważnienia powoduje, że ten zestaw, o którym mowa w artykule mógłby pozwolić na wyczyszczenie kont. Może stąd reakcja jest tak gwałtowna.
Warto dodać, że SKL to przedsiębiorstwo "komunalne" tj. należące do kilku południowych landów niemieckich, które ma pewne przywileje na rynku loteryjnym.

Wskazany tekst wyraźnie

Wskazany tekst wyraźnie sugeruje, że te dane wyciekły z tego przedsiębiorstwa loteryjnego, nie wiem jak Wyborcza zrobiła z tego wyciek z banku :-)
pozdrawiam
Alex

Skad bank?

Niestety z Wyborcza jest coraz gorzej... dziennikarze piszą artykuły, które MUSZĄ być sensacyjne. Spowodowane jest to obniżeniem wymagań stawianych pracownikom redakcji :)

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>