Tere,
Sain e-maili AirBalticult, et kogu reisimeeskonna andmeid on lekitatud (saadetud teisele reisijale) ning tänu sellele ei ole võimalik teha e-toiminguid tulevikus antud reisiga seonduvalt, ka check-in tuleb teha lennujaamas kohapeal.
Ilmselge ajakulu lisaks, lend peaks väljuma 5.40 hommikul, tänu sellele peab lennujaamas olema oluliselt varem, et check-in ära teha.
Tahan teada, kui paljudel inimestel veel sellist olukorda esines ning kas plaanite teha kahjunõude?
Tundub andmepüügi pettusena, kuid paraku täiesti reaalne juhtum ja AirBaltic sellised kirjad on saatnud.
https://www.bleepingcomputer.com/news/security/airline-exposes-passenger-info-to-others-due-to-a-technical-error/
Mulle meeldiks ikkagi konkreetne kahju teada ning milliseid salajasi isikuandmeid AirBaltic kogub ja e-maili teel laiali jagab. Pooled inimesed jagavad oma reisimist nagunii sotsiaalmeedias ning sünniaeg on avalikult sotsiaalmeedias üleval. Sugu on vist küll tänapäeval delikaatne isikuanne, samas selline, mis on riiklikus dokumendiregistris kirjas, mitte kellena inimene ennast määratleb. Isegi kodust aadressi ei ole vist AirBalticu saadetud meilis. Seega ma mitte üldse pahatahtlikult, vaid uudishimust tahan teada, kust tekkis kahju ja veel rohkem huvitaks mind, milline rahaline summa selle kataks?
Mina sain sellise meili möödunud reedel ja seal ei olnud rohkem andmeid kui broneeringu number ja reisikava (nime ei olnud, meiliaadressi ka mitte). Kiri oli läti v leedu keeles ja nii palju kui ma aru sain, pakuti mulle võimalust osta pardatoitlustus 10% odavamalt. Artiklist saan aru, et kirju oli erinevaid ja need sisaldasid erinevaid andmeid.
Järgmisel päeval tuli meil, kus vabandati ja paluti eelmise päeva kiri kustutada. Mõlema kirja saatjaks oli . Esmapilgul tekkis tõesti andmepüügi kahtlus, seepärast ma ka ei reageerinud kuidagi tollele esimesele meilile. No ja sihtpunkt ning lennuaeg olid ka muidugi valed.
Teemaalgataja, ma saan aru, seob tekkinud kahju konkreetselt sellega, et ta peab planeeritust varem lennujaama minema. Varahommikuse väljumise puhul on see lihtsalt ebameeldiv, aga mul nt lend pärastlõunal ja ma olen planeerinud viimase hetkeni tööl olla näiteks. Kui nüüd peaksin oluliselt varem lennujaama minema, siis võib see tõesti olla keeruline.
Samas, kui palju varasemaks see mineku ikka muudaks? Ametlik soovitus on ju ikka kaks tundi varem ja ma usun, et sellest piisab ka sel juhul, kui check-in kohapeal vaja teha.
Minuga sellist asja ei juhtunud, aga ma pakun, et kui juhtunuks, siis on väga palju andmeid, mis lekkinuks ja mida ma ei pruukinuks soovida avalikustada, ainult viitenumbri ja nime põhjal lekkinuks: minu salajane telefoninumber, minu eraviisiline meiliaadress, andmed minu kaasreisija kohta, kelle puhul ma ei soovi, et avalikkus teaks, et ma temaga reisin, kaasreisija salajane erameil, kaasreisija eratelefon, info kõigi minu puuete kohta, info minu kaasreisija puuete kohta.
Rahaline summa sõltub, arvatavasti jääks vahemikku 0 (see on kõige tõenäolisem) kuni mingi 6kohaline summa (mis on ääärmiselt ebtõenäoline, aga absoluutselt kõigi halbade asjaolude kokkulangemisel mitte ilmvõimatu).
Tegemist on isikuandmete kaitse alase rikkumisega (personal data breach) ja andmeid on broneeringul küljes terve suur ports. Üks asi on omal algatusel mingit reisinfot sotsiaalmeedias jagada, sootuks teine asi on broneeringuinfo suvalisele isikule jagamine. PNR abil on vôimalik teada saada hulgi infot - kontaktandmed, makseviisid, frequest flyer, jne - ja lisaks ka teha erinevaid toiminguid antud broneeringuga. Ôigus privaatsusele ja andmekaitsele on ei muud kui pôhiôigus - ning kahju ei pea olema rahaline ega aset leidnud.
Jah, osad inimesed jagavad oma reisiteavet, kuid suur osa seda ei tee. Igaüks, kel vähegi môistust, ei jaga oma PNR ja reaalse broneeringu andmeid. Asjaolu, et selline rikkumine juhtus, tähendab viga turvameetmetes - ja see tähendab ühtlasi, et rikkumise ulatus vôis olla ka palju suurem ja see vôib selguda alles hiljem.
Sôltuvalt asjaoludest vôib AirBaltic saada trahvi.
Ma tean, et paljud peavad andmekaitset ja privaatsust nn "fantoom-ôiguseks" - ega keegi ju surma sellepärast saa. Aga paraku on vôimalik väga suure kahju tekitamine, ja mitte ainult rahaliselt. Töötades selles valdkonnas 13+a, olen näinud väga palju olukordi, kus oli tekkinud reaalne kahju, reaalne oht inimesele ja reaalselt negatiivsed tagajärjed.
Teemaalgatajale - kuivôrd see rikkumine juhtus, pani AirBaltic online vôimalised kinni, et vältida ôigustamata isikute juurdepääs su teabele. Paraku muud lahendust vist polegi, sest uusi broneeringukoode oleks ilmselt keerulisem (?) genereerida.
Pahatahtlik võib piletid tühistada kui on teada broneeringu number ja perekonnanimi. Siis tekiks tõesti reaalne kahju. Samas kui puudutatud broneeringud pandi kohe lukku ei saa midagi muuta. Nüüd on muidugi see koht mis on kuskil väikselt kirjas, mida lennufirma tohib kliendiandmetega teha. On ju olnud ka näiteks jaekaubanduses kliendiandmete lekkeid, öeldakse sorry ja kõik. Seal on märksa rohkem personaalseid andmeid kui lennu broneeringus.
Sain ka sel teemal 2 meili. Esimeses polnud isegi broneeringu numbrit, teises juba oli. Mul mitu broneeringut nendega, ei osanud esimese meili kohta midagi arvata. Tundus nagu õigelt aadressilt saadetud, aga väike kahtlus ikka jäi. Kontrollisin broneeringuid, oleks justkui ok. Eks siis tuleb lauas lennule registreerida, pole probleem. Aga natuke ikka häirib selline olukord, mis neil praegu juhtus
Lekkis nii täisnimi, broneeringu nr, keel ning lennunumber, kuupäev ning kellaaeg.
Suurelt on välja toodud, et pangaandmed ning muud andmed ei lekkinud, kuid selles ma küll päris kindel ei oleks.
Lekkimine on reaalne ning AirBalticu poolt kinnitatud. Suhtlesin ka Eesti AirBalticu esindajaga.
Mingi reklaam oli välja saadetud inimeste andmetega ja seetõttu nad tühistasid kõik e-toimingud, mis antud broneeringuid hõlmasid.
Igati nõus Tipiga, et andmekaitse ja privaatsus pole pelgalt "fantoom-ôigus". Isegi kui "kohe" mingit reaalset (majanduslikku või personaalset) kahju ei teki, pole absoluutselt kellegi kolmanda asi, kuhu keegi teine lendab, kellega lendab ja kui kõrgelt lendab.
Kui osa inimesi tunneb tungivat vajadust oma privaatsete andmetega poosetada, siis on see nende eneste eralõbu (ja risk) –– see aga ei tähenda automaatselt, et see kuidagi normaliseerib ettevõtete/ametiasutuste tuimast hooletusest või lihtsalt halbade asjaolude kokkulangemisest tingitud käpardlikkust isikuandmete kaitsmisel.
Porbleem on selles, et inimesed ei teadvusta mida kõike on võimalik teha teie andmetega.
Tüüpiline näide facebookis, kus leitud on kellegi ID-kaart või või pangakaart. Inimesed on õnnelikud, et selle tagasi saavad. Kõige õigem oleks teha omale uus ja vana hävitada.
Näiteks leiate ID-kaardi ja viite politseisse. Sealt saate tagasi ainult kehtetu kaardi. Turvalisus.
Teie isikuandmetega võidakse sõlmida järelmaksulepinguid ja mis iganes veel. Kurikaeltel fantaasiat ja oma ametialaseid teadmisi jätkub. Te pääsete tekitatud kahjude maksmisest, kuid selleks tuleb kulutada oma vaba aega ja ka raha, mida te kunagi tagasi ei saa.