La obligación de notificar en caso de violación de datos conforme a los artículos 33 y 34 del RGPD puede ser un desastre para el interesado.

Este artículo se publicó por primera vez en SEGURIDAD ITK.

Última actualización antes de 1 año a través de Patrick Ruppelt

Tiempo de lectura: 3 minutos

Cómo la Mundo1) hoy, el mayor proveedor de retransmisiones porno en directo "Cam4" ha puesto todo tipo de datos sensibles de los usuarios desprotegidos en la red.

Un total de 10.800 millones de registros con detalles de direcciones de correo electrónico, información de tarjetas de crédito de unos 15 millones de usuarios, así como historiales completos de chats y detalles de preferencias sexuales. Es pan comido compararlo con Facebook, Instagram, Xing y LinkedIn.

Curiosamente, la sede de Granity Entertainment DAC, la empresa que explota "Cam4", se encuentra en Dublín, Irlanda. En este sentido, será interesante ver cómo Granity pretende eludir las disposiciones del GDPR. En realidad, no hay justificación para no actuar de acuerdo con la normativa europea e informar inmediatamente a todos los afectados sobre el incidente.

Quizá el camino a seguir sea reservar una página 1/1 en un diario con suficiente cobertura en cada país afectado y publicitarlo allí. En Alemania, eso sería (que yo sepa) actualmente sólo el FAZ, que se cuestiona un "informe sustitutivo" tan especial. Y si eso es realmente justificable -al fin y al cabo, Granity tiene todos los datos de contacto y puede informar a todos los afectados sin problemas, eso también habría que aclararlo. A ver si mañana le dedican una página entera en el FAZ, entonces sabremos más.

De lo contrario, la única opción es informar individualmente a cada usuario sobre la violación de datos.

Pero, ¿tanto les gusta a los usuarios? Sobre todo cuando la esposa también mira en el buzón y ve en qué saltos juveniles y fantasías sexuales anda metido el cónyuge fiel, ésa es una pregunta completamente distinta.

Actualización 8.8.2020: El proveedor Cam4 nos ha remitido a su contradeclaración. Puedes encontrarla en aquí2).

La contrarréplica dice

Inmediatamente se desplegaron desarrolladores y especialistas en seguridad para investigar más a fondo, y el equipo concluyó sin lugar a dudas que ninguna persona ajena a SafetyDetectives y a los investigadores de CAM4 tuvo acceso ilícito a ningún tipo de información personal identificable, incluidos nombres, direcciones, correos electrónicos, direcciones IP o información financiera.

Esto está muy bien empaquetado a efectos de marketing, ya que da la impresión de que no todo era tan malo. Pero eso es sólo la mitad de la verdad.

Sólo gracias a que los investigadores de seguridad de SafetyDetectives trataron el hallazgo con tanta confianza y sólo extrajeron unos pocos registros de datos como ejemplo, se evitaron daños mayores. Sin embargo, los datos eran realmente accesibles y fallaron todos los mecanismos de protección de la empresa. La fuga de datos existió exactamente como la describimos.

Igualmente, un "vulgar pirata informático" podría haber encontrado los conjuntos de datos y descargarlos ilegalmente. Que esto no ocurriera por una afortunada coincidencia no significa que todo fuera bien.

Lista de fuentes

↑1https://www.welt.de/wirtschaft/article207787719/Datenleck-Warum-15-Millionen-Nutzer-eines-Pornoportals-bald-Post-bekommen-koennten.html
↑2https://cam4.de.com/magazin/cam4-reagiert-auf-vorwuerfe-von-sicherheitsverletzungen/