Był wzorowym pracownikiem. Przez roztargnienie transmitował poufne dane klientów
Spółka GK Pro odpowiada za serwis posiedzenia.pl, w ramach którego dostarcza usług cyfrowych organom samorządowym, w tym np. możliwość przeprowadzania obrad rady miasta, głosowań, komunikacji wewnętrznej, magazynowania dokumentów, itp. Jak podaje serwis niebezpiecznik, doszło w niej do nietypowego wycieku danych. Niefrasobliwość jednego z pracowniku doprowadziła do uwidocznienia danych osobowych klientów i ich haseł.
Na usuniętym już nagraniu, które trafiło na serwis YouTube widać było jak jeden z pracowników portalu posiedzenia.pl we wzorowy sposób uskutecznia wielozadaniowość. Niestety, zapomniał o jednym istotnym i kłopotliwym fakcie.
Z jednej strony rozliczał Excela i uzupełniał dane w serwisie CRM, sprawdzał maile, komunikował się przez Gadu-Gadu, a to wszystko przy akompaniamencie robót wiertniczych. I w trakcie tych dwóch godzin nie tracił przy tym ani chwili, a odszedł od komputera na zaledwie kilka minut.
fot. YouTube (via niebezpiecznik)
Pech jednak chciał, że ów pracownik najwyraźniej zapomniał, że nagranie jest transmitowane na otwarty kanał na YouTube. Firma testowała narzędzie do monitorowania / strumieniowania pracy pracowników.
Każdy, kto uzyskał dostęp do filmiku mógł podejrzeć:
- zawartość służbowych e-maili
- loginy i hasła użytkowników przekazywane przez Gadu-Gadu
- dane klientów - m.in. imiona, nazwiska, adresy e-mail, numery telefonów
- umowy i faktury klientów
- rozmowy wideo z posiedzeń niektórych klientów
- dane dostępowe do zewnętrznych systemów klientów
- rozliczenia podwykonawców serwisu rozliczenia.pl
Tego typu dane mogły zostać wykorzystane przez konkurencję, a także przez indywidualnych klientów i innych podwykonawców zajmujących się pracą na portalu rozliczenia.pl, którym mogłyby się ich własne stawki nie spodobać.
Z portalu rozliczenia.pl korzystają organy samorządowe, ale i także straż miejska, banki spółdzielcze, a nawet Wojskowe Zakłady Łączności.
Firma GK Pro, właściciel serwisu posiedzenia.pl oznajmiła, że film został opublikowany omyłkowo i usunęła go. Jak ustalił niebezpiecznik, pracownik firmy od roku transmitował wszystko, co dzieje się u niego w biurze - prawdopodobnie w ramach testów oprogramowania do transmisji wideo.
Niefrasobliwość firmy i / lub pracownika mogła słono kosztować. Dane były widoczne przez ponad 2 tygodnie. W takich sytuacjach za każdym razem należy się upewnić, że materiały wideo są publikowane na YouTube jako "prywatne" - wtedy nie można znaleźć ich w wyniku wyszukiwania, ani nie pojawią się także wewnątrz kanału na profilu na YouTube.