Jump to content

Sixt víctima de un ciberataque


Tzinm
 Compartir

Publicaciones recomendadas

Ayer por la tarde recibí un email de SIXT Customer Information que comenzaba con Dear customer.

 

Me resultó un tanto extraño recibir un correo de Sixt en calidad de cliente. Os preguntaréis porqué. Creía recordar que hace algún tiempo había ejercido mi derecho de supresión de mis datos personales de la base de datos de clientes de Sixt. Así lo creía porque tiempo atrás tomé la decisión de solicitar la eliminación de mis datos personales de las bases de datos de aquellos servicios que cancelaba mi cuenta de usuario.

 

Continué con la lectura del email, y básicamente lo que contaban era que habían sufrido un ciberataque. Resumían brevemente que sus robustos sistemas de seguridad no habían sido capaces de evitar el ataque producido. Además, explicaban qué había ocurrido y las medidas que había tomado tras el suceso.

 

El punto más crítico del email es en el momento en el que me indican que en la brecha de seguridad mis datos se han visto expuestos.

 

Cita

The ongoing evaluation of the incident revealed, to our regret, that files containing your data were also affected.  In your case, this concerns certain customer master data such as first and last name, customer card number and general contact data (such as address and e-mail address) and further individual information, resulting from documents in connection with car rental bookings, (in particular rental period, payment method as well as location or information from official documents that you have shared with us in connection with the booking).

 

 

Este asunto me parece gravísimo. Los datos de un cliente (que sepamos) que solicitó hace más de un año y medio la cancelación de sus datos personales y que fue confirmada por parte de Sixt (cito parte del email de confirmación recibido en diciembre de 2020), han sido robados.

 

Cita

Hemos procedido a la cancelación de sus datos a su requerimiento, siempre que se dé uno de los motivos de cancelación especificados en el art. 17, apartado 1, del RGPD (UE) y el tratamiento de sus datos no sea necesario de conformidad con el art. 17, apartado 3, del RGPD (UE).

 

Esto implica, sobre todo, lo siguiente:

• Por motivos legales, estamos obligados a conservar los contratos de reserva y de arrendamiento por un periodo de tiempo prolongado. Hemos bloqueado los contratos de reserva y de arrendamiento que tengan una antigüedad mayor a los seis meses, siempre que no existan operaciones comerciales pendientes (por ejemplo, expedientes de siniestros no finalizados o reclamaciones pendientes). En tal caso, solo se procederá a su tramitación para el cumplimiento de nuestras obligaciones de conservación.

 

 

A pesar de que tanto en el email como en su política de privacidad (cito el párrafo referente a la supresión de datos personales) no dejan claro cuando se procede a eliminar los datos personales de un cliente, lo acontecido me parece lo suficientemente grave como para ponerlo en conocimiento de la AEPD (Agencia Española de Protección de Datos).

 

Cita

Derecho de supresión, Art. 17 RGPD
Asimismo, usted tiene derecho a obtener de SIXT la supresión de sus datos personales. Estamos obligados a la supresión de sus datos personales en determinados supuestos, como cuando los mismos ya no sean necesarios para las finalidades para las que fueron recopilados o tratados, cuando usted haya revocado el consentimiento en el que se base un tratamiento de datos o cuando el tratamiento de los datos fuese ilícito, siempre que la normativa aplicable permita la supresión.

 

Si obtengo alguna información adicional al respecto actualizaré el hilo. He hecho una búsqueda rápida sobre el ciberataque que ha recibido Sixt y no he encontrado nada. Supongo que no ha sido tan grave (en cuanto a número de "clientes" afectados) como para que se hable de ello en los medios.

Editado por Tzinm
  • De acuerdo 3
Enlace al comentario
Compartir en otros sitios web

hace 26 minutos, Tzinm dijo:

tiempo atrás tomé la decisión de solicitar la eliminación de mis datos personales de las bases de datos de aquellos servicios que cancelaba mi cuenta de usuario

Me alegra saber que no soy el único loco que ha dedicado tiempo a esto :- D

 

Muy feo el tema si no han cumplido con la eliminación de datos. Debe haber algún organismo al que puedas informar y que ellos le manden también algún amistoso email a Sixt.

 

Ya nos cuentas como se desarrolla el tema. Suerte!

  • Gracias 1
Enlace al comentario
Compartir en otros sitios web

Me da que aunque denuncies poco vas a conseguir... Lo de la protección de datos me parece un cuento chino para sacar dinero, y me explico: cuando era autónomo, allá por 2011 me dí de alta por primera vez, tuve que registrarme en la AEPD y dar una memoria explicativa de los datos que recopilaba (básicamente, nombre apellidos direccion y dni de los clientes), y cómo los protegía (discos duros encriptados, nas encriptado, nube encriptada, etc). También tuve que hacer toda la documentación para preparar los formularios de alta, baja, cancelación, modificación de datos, etc. Eso en 2011, ahora por lo visto no es necesario hacerlo, se da por hecho que cumples con la legislación y no tienes ni que registrarte en la AEPD, a menos que la empresa tenga más de 10 trabajadores, en cuyo caso tienes que comunicar quién es el delegado de protección de datos, o algo así...

 

Bueno, 8 años después me dí de baja de autónomo... ¿Crees que alguien se puso en contacto conmigo para que destruyera las bases de datos que contenían datos personales? Ni dios, aun sigo esperando una carta o una comunicación al respecto. Mientras trabajas, controles y tal (los tuve). Cuando te das de baja, absolutamente nada. Ya puedo traficar con esos datos y hacer pasaportes falsos y venderlos en la Deep Web, que a nadie le importaría ni una puta mierda.

 

Luego, tienes casos como este:

https://www.xataka.com/seguridad/filtran-datos-millon-clientes-phone-house-que-se-puede-hacer-estamos-lista-que-punto-se-puede-reclamar

 

Que yo sepa, o por lo menos no lo he visto en ninguna parte, The Phone House no pagó ninguna multa ni indemnización por no proteger los datos de sus clientes adecuadamente... Yo me bajé las bases de datos (y otros tantos, gratuitamente de la Deep Web, ya que los publicaron porque la empresa no pagó el rescate), y aunque algunas son archivos propios de Oracle de Dumps, y no tengo ni idea de cómo abrirlos, otros son CSV y con herramientas adicionales puedes hacer consultas. Se saca de todo: nombre, apellidos, dirección, teléfono, dni, e incluso números de tarjeta y de cuentas bancarias (no en todos los casos pero hice pruebas buscando a gente conocida y en algunos me salían o lo uno o lo otro). Por cierto, que no es un millón de clientes... son 13,4 millones de registros!!!

 

¿Alguien ha hecho algo? Porque me gustaría ver la noticia de que le meten un puro de la ostia a The Phone House por hacer las cosas tan mal. Si a ellos, ni a Sixt, ni a cristo bendito... Aquí lo que veo es que muchas empresass de protección de datos se están forrando a costa de vender humo a las empresas. El mejor ejemplo ayer mismo, una amiga que dirige una asociación me dice que si no pueden hacer ellos lo de la protección de datos por sí mismos, porque tienen una empresa contratada para eso, que les cobra 150 más iva al mes, y les han preguntado que cómo pueden proteger la información, y que si usar la cuenta gratuita de Google Drive es suficiente para proteger los datos de los clientes (pregunta normal de alguien que no tiene mucho conocimiento de informática y que no sabe que las cuentas que no son de pago no son para nada seguras, y las de pago habría que verlo...), y les contesta la empresa de marras que ni puta idea, que miren los términos y condiciones de Google. Les dicen además que si es seguro tener los datos en un pendrive que se llevan a casa y a la compra y a cualquier lugar en el bolso, y les dicen que no hay problema. Ole, con todos los cojones!! Sí, vosotros a cobrar bien, pero de asesorar en materia de protección de datos... ya veo que ni de puta coña.

 

Por eso os digo que yo no creo para nada en estos temas. Cobrar, se cobra de cojones.... pero hacer algo efectivo de manera preventiva o reparar los daños posteriores, yo por lo menos no he visto nada al respecto, así que dudo mucho que consigas nada denunciando a Sixt. Recibirás el silencio administrativo por respuesta y una sensación de total indefensión...

 

Un saludo, buen día. :rolleyes:

  • De acuerdo 2
Enlace al comentario
Compartir en otros sitios web

Totalmente en lo cierto @Ronon

 

No es más que la enésima excusa para sacarnos dinero a costa de nuestro trabajo. 
No nos engañemos, es la única diferencia entre la época feudal y esta pseudodemocrácia; Antes no hacían falta excusas. Pronto, en nuestros días tampoco las pondrán. "Quita" de los activos que tenga cada uno y listo. 

 

En cuanto al asunto del hilo, pues la mayoría de las empresas son extensiones de las personas que la componen. Yo entendería que una pyme, autónomo.... "pasase olímpicamente" de dar de baja a un cliente de su BBDD. Con la que está cayendo, con lo que las sangran etc, perder 5 minutos en eso pues fácil les toca los...  (sobre todo cuando luego ves que las megamultinacionales las lían día si día también y no les pasa nada como bien has apuntado)
 

Enlace al comentario
Compartir en otros sitios web

Hasta donde yo sé, las multas por incumplimiento de la GDPR (que os recuerdo que es directiva europea y muy posterior a 2011) son cuantiosas.

 

Lo que me preocupa es que, según la comunicación, entiendo que también se han filtrado datos de pago. ¿Acaso no tienen las tarjetas de crédito tokenizadas como todo el mundo? ¿O a qué se refieren con "customer card number"?

  • Gracias 1
Enlace al comentario
Compartir en otros sitios web

hace 1 hora, Axelko dijo:

Hasta donde yo sé, las multas por incumplimiento de la GDPR (que os recuerdo que es directiva europea y muy posterior a 2011) son cuantiosas.

 

Lo que me preocupa es que, según la comunicación, entiendo que también se han filtrado datos de pago. ¿Acaso no tienen las tarjetas de crédito tokenizadas como todo el mundo? ¿O a qué se refieren con "customer card number"?

Yo quiero entender que al decir la customer card number, es la tarjeta de fidelización/corporativas de la que disponen los clientes. Sería una locura lo que planteas.. (aunque peores casos se han demostrado al final de como almacenaban los datos!!)

Enlace al comentario
Compartir en otros sitios web

En 21/7/2022 a las 8:53, Ronon dijo:

Me da que aunque denuncies poco vas a conseguir...

 

Es posible que estés en lo cierto, pero me siento con la olbigación de presentar esa reclamación ante la AEPD. Dedico mi tiempo en revisarme las políticas de privacidad de las compañías, en ejercer mi derecho "al olvido" y me gustaría que las empresas cumpliesen con sus obligaciones así como se nos exige a nosotros como clientes. ¿Acaso puedo dejar de pagar una factura sin consecuencias?

 

Esto me recuerda a una situación similar cuando alguna persona me ha preguntado a ver por qué me preocupo por reciclar si las empresas que se encargan de gestionar los residuos de los municipios no lo hacen. Por desgracia, no tengo datos suficientes como para rebatir tal afirmación, pero estoy seguro que la persona que me hace ese comentario tampoco tiene esos datos que justifiquen su afirmación. Mi respuesta siempre es la misma, intento hacer todo lo que está a mi alcance (evidentemente hasta ciertos límites), que en este caso es separar los residuos que genero para facilitar el reciclaje.

 

Lo que no podemos (creo) es quejarnos de que algo se está haciendo mal, cuando se ponen medios a nuestro alcance (en este caso) para "luchar" contra aquellas empresas que no cumplen con sus obligaciones y nosotros no los aprovechamos.

 

hace 21 horas, Axelko dijo:

Lo que me preocupa es que, según la comunicación, entiendo que también se han filtrado datos de pago. ¿Acaso no tienen las tarjetas de crédito tokenizadas como todo el mundo? ¿O a qué se refieren con "customer card number"?

 

Me ha hecho dudar. Espero que no haga referencia a las tarjetas de crédito de los clientes.

  • Gracias 1
Enlace al comentario
Compartir en otros sitios web

hace 2 horas, Tzinm dijo:

 

Es posible que estés en lo cierto, pero me siento con la olbigación de presentar esa reclamación ante la AEPD. Dedico mi tiempo en revisarme las políticas de privacidad de las compañías, en ejercer mi derecho "al olvido" y me gustaría que las empresas cumpliesen con sus obligaciones así como se nos exige a nosotros como clientes. ¿Acaso puedo dejar de pagar una factura sin consecuencias?

 

Esto me recuerda a una situación similar cuando alguna persona me ha preguntado a ver por qué me preocupo por reciclar si las empresas que se encargan de gestionar los residuos de los municipios no lo hacen. Por desgracia, no tengo datos suficientes como para rebatir tal afirmación, pero estoy seguro que la persona que me hace ese comentario tampoco tiene esos datos que justifiquen su afirmación. Mi respuesta siempre es la misma, intento hacer todo lo que está a mi alcance (evidentemente hasta ciertos límites), que en este caso es separar los residuos que genero para facilitar el reciclaje.

 

Lo que no podemos (creo) es quejarnos de que algo se está haciendo mal, cuando se ponen medios a nuestro alcance (en este caso) para "luchar" contra aquellas empresas que no cumplen con sus obligaciones y nosotros no los aprovechamos.

 

 

Me ha hecho dudar. Espero que no haga referencia a las tarjetas de crédito de los clientes.

 

Spoiler

EPEzsWgWoAAoT-_.jpg

 

  • De acuerdo 2
Enlace al comentario
Compartir en otros sitios web

Si facebook No lo hace menos estos ,facebook tengo una cuenta que mande borrar en el 2007 y en el 2019 me dejo reactivarla con todos los datos que por cierto son todos falsos y hablo que hice la peticion completa de borrado no lo de desactivarla.

 

Enlace al comentario
Compartir en otros sitios web

Por favor conéctate para comentar

Podrás dejar un comentario después de iniciar sesión



Conectar ahora
 Compartir

×
×
  • Crear nuevo...