Dziennik Internatów informuje, iż tym razem p. mec. Bartłomiej Wieczorek rozpoczął, najprawdopodobniej na masową skalę, krucjatę w postaci rozsyłanych przedsądowych wezwań do zapłaty ugody na rzecz swoich klientów. Wzywają one do uiszczenia opłaty w wysokości 3000 zł, która to ma pokryć szkody za nieuprawnione rozpowszechnianie utworów chronionych przez prawo autorskie na portalu Chomikuj.pl. Działanie to nieco przypomina opisywane przeze mnie już na blogu postępowanie mec. Anny Łuczak, lecz sytuacja prawna osób wzywanych przez mec. Wieczorka się nieco różni.
Konrad M. Mazur
Rzecz o powierzeniu przetwarzania danych osobowych w usłudze hostingu
Poprzedni wpis na temat działań spółki świadczącej usługi pod marką Fit and eat znalazł (co mnie cieszy) odzew wśród czytelników bloga. Dostałem maila poddającego w wątpliwość kwestie związane z obowiązkiem powierzenia przetwarzania danych osobowych, którego powinien (według mnie) dokonać administrator Fit and eat względem hostingodawcy. Ja jednak obstaję przy swoim i dziś przedstawię nowe fakty w dyskusji wśród prawników obalające argument z tzw. formalnej wykładni przepisów ustawy o ochronie danych osobowych.
Wyciek z Fit and eat – krytyczna ocena prawna.
Dwa dni temu najpierw Niebezpiecznik, a chwilę później Zaufana Trzecia Strona poinformowały o wrzuceniu na forum ToRepublic danych osobowych z przedsiębiorstwa oferującego usługi dietetyczne Fit and eat. Wyciek obejmuje dane bardzo znanych osób, w tym ich adresy, kody do furtek na klatki, informacje o przebytych chorobach czy urazach. Wczoraj na TVN24 mogliśmy przeczytać wypowiedzi właścicieli, którzy przepraszają i deklarują iż zmienią dostawcę usług IT, który miał dbać o bezpieczeństwo danych klientów. Całe to tłumaczenie, parafrazując klasyka, to bulszit kompletny. Winni rozmydlają sprawę, używając pijarowskiego zabiegu próbują wyjść z twarzą i uciec od odpowiedzialności (w poczuciu społecznym). Dziś przedstawię spojrzenie prawne na to, kto tak naprawdę ponosi odpowiedzialność za zaistniałą sytuację, pobieżną analizę tego kto i jak może odpowiadać za popełnione błędy a także czy Fit and eat zrobiło cokolwiek by dane osobowe klientów chronić, bo mam ku temu bardzo poważne wątpliwości.
Torrenty i przedsądowe wezwanie do zapłaty od mec. Anny Łuczak. Jak żyć?
Po internetach hula informacja na temat pism rozsyłanych na masową skalę przez adwokat Annę Łuczak z Warszawy zatytułowanych przedsądowe wezwanie do zapłaty w związku z podejrzeniem popełnienia przestępstwa. O co w ogóle chodzi? Ano o to, że ktoś kiedyś pobierał przez klienta sieci torrent jeden z polskich filmów takich jak między innymi Obława, Czarny Czwartek. Janek Wiśniewski padł, Pokłosie czy Last Minute. Teraz Pani Mecenas w imieniu swojego klienta – właściciela majątkowych praw autorskich – prosi o zapłatę ugody wskazując, że jeśli tego nie zrobimy to czeka nas wizyta smutnych panów.
Czasem trzeba się bać… własnego prawnika.
W sobotniej Rzeczpospolitej można było znaleźć całkiem ciekawy artykuł zatytułowany Z bazą klientów do swojego biznesu. Jak wskazuje autorka:
Szacuje się, że co trzecia firma jest narażona na kradzież danych, które trafiają później do konkurencji. (…) Jak twierdzą eksperci, nie ma dziś branży, która nie byłaby narażona na wyciek informacji.
Mówiąc szczerze fakt ten mnie mało dziwi. Jeszcze mniej, gdy zestawimy to ze statystyką – w Polsce 15 na 1000 komputerów może być elementem botnetu (chociaż jeszcze rok temu wskazywano, że to aż 4 na 10 komputerów!).
Zostałem magistrem prawa!
Dziś nieco osobiście. Otóż w ubiegły piątek otrzymałem tytuł magistra i zakończyłem studia prawnicze. Trochę szkoda było mi wyprowadzać się z Torunia, bo jest naprawdę pięknym miastem i będę je bardzo dobrze wspominał. Natomiast dziś mogę już Tobie zdradzić tajemnicę, że moje przyszłe życie zawodowe zwiążę z Poznaniem 🙂 Polskojęzyczna społeczność przestępcza zorganizowana w sieci darknet - tak ostatecznie brzmiał temat mojej pracy magisterskiej. O czym ona jest? O cyberprzestępcach w sieci Tor, forach Polish Board & Market i ToRepublic, Polskiej Ukrytej Wiki i nie tylko. Czyli generalnie o tzw. cyberprzestępczości trzeciej generacji.
A przecież ABW mogło z kwitkiem odejść…
Wpis dzisiejszy nie będzie moim manifestem jako zwolennika albo przeciwnika jakiegokolwiek obozu politycznego. Wpis ten będzie szeregiem osobistych spostrzeżeń dotyczących tego, co funkcjonuje nie tak jak powinno nie tylko w strukturach naszego państwa, ale również w sektorze prywatnym – jakkolwiek rozumianym.
Heartbleed i 2FA
Znajomi pytają mnie co myślę o ostatnim katakliźmie interenetowym związanym z luką OpenSSLa, więc dziś chciałbym podzielić się z Tobą jedną z moich refleksji. Trzeba się pogodzić z tym, że co jakiś czas jakieś hasło gdzieś z czegoś wycieknie – taka jest natura technologii oraz mnogich i skomplikowanych rozwiązań z nimi związanych. Nie da się przed tym uciec. Ale można potenacjalne ryzyko zminimalizować. I tutaj nie wskażę na nic odkrywczego – dla każdego konta inne hasło powinno być takim samym standarem higieny jak zakładanie codziennie rano świeżych skarpetek. Ale czy można zrobić coś więcej? Oczywiście, że tak.
Advanced Persistent Threats (APT)
Ostatnimy czasy coraz wyraźniej dostrzec można rosnącą liczbę ofiar zagrożeń jakimi są APT. Tłumacząc dosłownie to zaawnsowane trwałe zagrożenia. Tłumaczenie to jest dalekie od ideału, ale pozwala wskazać o co w przypadku APT chodzi – cyberprzestępcy wybierają sobie na ofiarę jeden konkretny podmiot, np. instytucję lub przedsiębiorstwo. W tym konkretnym podmiocie, po wstępnej inwigilacji, bardzo często wybierają jedną konkretną osobę, która stanie się wektorem ataku i posłuży do tego, by na strannie wyselekcjonowanej ofierze po prostu zarobić możliwie jak najwięcej (nie czarujmy się – wiekszość tego typu ataków to dobrze skalkulowane przedsięwzięcia zarobkowe). Co się dzieje dalej?
Co to jest ten darknet?
Jeśli interesujesz się bezpieczeństwem sieciowym lub informacji w jakimkolwiem wymiarze, czy to prawnym czy informatycznym, prędzej czy później zadasz sobie pytanie – czym jest ten darknet? O co tutaj w ogóle chodzi?