[Tanel]

Iga teise eestlase isikukood, ostuinfo ja kontaktandmed lekkisid apteegi- ja haiglakaupadega tegeleva Allium UPI süsteemist. Ettevõte haldas Apotheka, Apotheka Beauty ja Pet City kliendikaardi omanike andmeid.

Kokku saadi kätte üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit. Samuti lekkisid 43 miljoni ostu andmed, kus on näha käsimüügiravimid ja muud apteegikaubad, nagu plaastrid või valuvaigistid. Ostetud retseptiravimite andmeid kurjategijad kätte ei saanud. Ka paroole ega pangaandmeid nende kätte ei sattunud.

Loe edasi: https://www.err.ee/1609302060/kelmid-varastasid-700-000-apotheka-kliendi-andmed

[bugbrake]

Millal ja kust on saanud alguse hakata kliendi andmeid koguma. Ma mõtlen üldiselt. Olid ajad kus neid andmeid ei korjatud, oli sul siis n-ö kliendikaart või mitte.
Korralik andmete leke (töö oli kiire ja korralik), huvitav kas minnakse kohtusse ka mõne kahjunõudega nüüd?

[netcat]

[degreal]

https://www.delfi.ee/artikkel/120282903/aki-peadirektori-asetaitja-inimesed-peaksid-kusima-miks-te-vajate-mu-kodust-aadressi

[psauce]

No on kelmid. Kui keegi vastutaks, siis asi muutuks, samas Eestis üldiselt keegi kunagi ei vastuta. Ikka juhtub.

Isikustatud kliendikaardid on saatanast.

[Prillpapa]

Antud mastaapse andmelekke juures on tähelepanuväärne riigi institutsioonide neutraalne toon, varasemalt kui on ca 100x väiksemad andmelekked on AKI manitsemist ja ähvardusi ulme trahviga firma maapealt pühkida kõik kohad täis. Lisaks võimu näitav repliik "firma teeb juhtumi uurimisel koostööd".
Nüüd nagu selline paha juhus lihtsalt, nagu riigi enda apsude/kahjude puhul alates andmeleketest kuni ikaldunud külmlaoni - süüdlased on kuskil mujal, kedagi ei karistata, vaja maksumaksjalt raha juurde ja teha edaspidi paremini.

700 000 isiku andmed + aastaid ajalugu leke on vist "too big to fail", nagu pankadega, kui suur pank on varastanud ja sigadusega hakkama saanud on see kõigi probleem ja riik võtab kahjud enda kanda, kui väiksem suli, siis trellid ja hoiatuseks teistele.

[netcat]

Aga äkki pole oluline mitte see, kui palju lekkis, vaid hoopis kelle juurest? Ega ei julge ju haukuda selle peale kes võib hammustada vastu.

[bugbrake]

Prillpapa uurimine on ju pooleli ning siin vastutab selle lekke eest täielikult erafirma. Mingid trahvid ja kahjunõuded peaks selle saaga lõpus ikka tulema aga sinna läheb aega kuni see asi kohtusse jõuab.

[Tanel]

[Tanel]

Siin ka kirjutab: https://ria.ee/uudised/ettevotte-andmebaasist-laeti-ebaseaduslikult-alla-apotheka-kliendikaartide-omanike-andmeid

[sukelduja]

[Janis]

[degreal]

[Janis]

Depo oma näiteks pole seotud mitte millegagi, lihtsalt annavad ja kasuta.

[netcat]

Seda enam tekib küsimus et mis mõte sellel on. Et oleks jupp plasti mida endaga kaasas vedada? Pangu siis ketiga kassa külge 1 kaart ja kõik kasutavad seda.

[ninzor]

[bugbrake]

Huvitav kuidas siis andmed kätte saadi? Saame ehk tulevikus täpsemalt teada. Oli siis tegemist siis lohakuse, oskamatusega, ebakompetentsete inimestega jne. See toimus juba jaanuari kuus, millal siis see avastati või kuidas see avastati.

[elukaz]

700k need on Eestist? Kuidas saab nii palju registreeritud kliente üldse olla?

[HPN]

https://arileht.delfi.ee/artikkel/120282947/suur-andmeleke-toimus-linnamaele-kuuluvast-ettevottest-millise-ariga-on-tegu

Mõlemad ärid on samuti Linnamäega seotud.

[napoleon]

Kiri tuli ka neile, kes asjaga seotud on

Spoiler

tsitaat:

Hea klient! Soovime Teid teavitada juhtumist seoses Apotheka kliendikaardi andmetega. Teatud osa Teie isikuandmeid, mida on Apotheka kliendikaardi programmi raames kogutud kuni 2020. a veebruari lõpuni, võivad olla jõudnud küberrünnaku tagajärjel kolmandate isikuteni, kellel ei tohiks neile andmetele ligipääsu olla. Küberrünnak toimus programmi haldaja, Allium UPI OÜ, vastu, kes pakub Apotheka apteekidele ja teistele koostööpartneritele (Apteegi Beauty OÜ, PetCity OÜ) ühtset lojaalsusprogrammi. Me võtsime koheselt meetmed, et piirata kuriteo ulatust. Küberrünne on peatatud, kuid isikuandmete koopiad on tõenäoliselt jätkuvalt ründaja valduses. Politsei on küberründe korraldajate suhtes läbi viimas kriminaalmenetlust. Andmekaitse Inspektsioon on juhtunust teadlik ja läbi viimas järelevalvemenetlust. Ründaja sai Allium UPI OÜ süsteemidesse sisse käesoleva aasta jaanuaris ning laadis alla kuni 2020. aasta veebruari lõpuni kliendiprogrammiga liitunute erinevaid andmeid, sh kliendi mitteravimite ja mõnel üksikul juhul ka käsimüügiravimite ostuajalugu kuni 2020. a. veebruari lõpuni. Teadaolevalt ei ole kurjategija valdusesse sattunud hilisemate (2020 veebruari lõpp - 2024) tehingute andmed ja mitte ühegi sel perioodil liitunud uue kliendi andmed. Tahame rõhutada, et sisemisi andmebaase ja süsteeme ei rikutud ja viimaste aastate ostudega seonduvad ja muud kliendiandmed on turvaliselt hoitud. Küberründe käigus kurjategijale ligipääsetud andmete hulgas on lisaks nimele, e-posti aadressile, telefonile, isikukoodile või sünniajale, finantsandmed, mis puudutavad üksnes a-raha jääki, ostusummat ning ostudelt saadud allahindlust. Pangakaardi andmed, paroolid ja muud finantsandmed ei kuulu kliendiprogrammis talletamisele ja seega ei olnud kurjategijatele kättesaadavad. Ostuajaloo andmete koosseisus ei koguta konkreetsete ravimite, sh retseptiravimite, käsimüügiravimite ja riiklike soodustustega mitteravimite ostude infot. Siiski on vähese osa klientide ostuajaloos erandlikel juhtudel salvestunud info mõningate ostetud käsimüügiravimite kohta. Ostuajaloos on nähtavad muude apteegikaupade nimetused, kuid mis võivad samuti anda teavet Teie tervisesisundi kohta. Osade klientide kohta on varastatud andmete hulgas ka aadressi andmed. Kuivõrd on teadmata, millised plaanid kurjategijal saadud isikuandmetega on, palume olla erakordselt tähelepanelikud Teile saadetavate erinevate e-kirjade sisu osas, kus saatjaks on Apotheka´t, Apotheka Beauty´t, PetCity´t jäljendav kolmas isik ja kirja sisu puudutab Teie terviseandmeid. Veenduge, et e-kirja saatja on apotheka.ee, apothekabeauty.ee või petcity.ee. Enne, kui olete veendunud kirja päritolus ja tõesuses, ärge klikkige ühelgi veebilingil ega avage kirja manuseid. Kui saate väljapressiva sisuga pöördumisi, sh kõnesid, võtke esimesel võimalusel ühendust politseiga ja järgige politseilt saadud juhiseid. Kui soovite täpsemat infot oma kliendikaardiga seotud andmete kohta, saatke palun digitaalselt allkirjastatud taotlus aadressile andmekaitse@allium.upi.ee. Vastused saadame taotlejale krüpteeritult. Vastame Teie taotlusele esimesel võimalusel, kuid hiljemalt ühe kuu jooksul. Kui Teil ei ole digitaalse allkirjastamise ja dekrüpteerimise võimalust, võtke ühendust eeltoodud e-posti aadressil või telefoni teel 6 530 750 ja anname Teile juhised toimimiseks.

Aga tegemist on 2020 aasta andmetega. Seega ilmselt mingi lohakile jäänud dump/backup.

[netcat]

https://www.postimees.ee/7993849/videointervjuu-kuberkuritegude-buroo-juht-apotheka-kliendiandmete-varastamiseks-kulus-20-minutit

Siin on lähemalt sellest "kuidas kätte saadi".

[MatchMaker]

https://epl.delfi.ee/artikkel/120283085/juhtkiri-sinu-lohakalt-jagatud-andmetega-saab-palju-kurja-teha

[napoleon]

Täiesti mittemidagiütlev artikkel. Kodune aadress on selline... mnjah. Kui inimene ise kinnisvara omab, siis saab selle lihtsasti kätte(nojah, ta ei pruugi elada sellel kinnisvaral mida omab ja võib omada mitut kinnisvara, aga ikka).
https://arileht.delfi.ee/artikkel/120280335/tartlanna-uuris-sadade-eestlaste-kinnistute-andmeid-politsei-on-asjast-teadlik ... ja miskit illegaalset ei pidanudki tegema.
Mees ja koer tüüpi OÜ-d on ka tihti omaniku kodusele aadressile vormistatud.
Ei, mulle ei meeldi üldse et ka minu andmed võisid lekkida. Aga mingi suur katastroof see ka pole.

[Sahasrahla]

Nii antud juhtumi, kui ka eelnevate lekete põhjal tuleb edaspidi olla ikka väga kriitiline, millises ulatuses peaks andmeid teistega jagama ja kas üldse on alust.
Seda enam, kui lekkeoht on, tulevikku vaadates, aina süvenev probleem.

[teretalv]

Ma ise olen oma aadressiks pannud lähima pakiautomaadi aadressi mida ma reaalselt ka kasutan kohtadesse kus on koduaadressi väljapressivas vormis tellimuse esitamine ja/või kasutaja registreerimne.
See pole valeandmete esitamine kui müüjal ei ole tellimuse täitmiseks see vajalik, veelgi enam kui pakiautomaadiga tellin asja, samasse automaati mille aadressi eelnevalt lisasin kodu aadressiks. Aliexpressis nii asi töötabki, lisad koduadressi asemel pakiautomaadi aadressi koos postiindeksiga ja tuleb tasuta pakk hiinast automaati (ainult ühe Eesti automaadi firmaga see trikk töötab).
Seadus ei kohusta samuti aadressi küsima.

Ka arvega maksmisel puudub eraisikute puhul aadressi küsimise õigus ja seega ka kohustus seda teha puudub, arvet peab saama ainult enda nimele ja rohkem infot ei pea andma, paljud seda ei tea ja raiuvad, et seadus kohustab neid arvet koostades küsima kodu aadressi ja veel rohkem isiklike andmeid. Peab vaid vaatama, et eraisik on õigesti kirjutatud, mitte pole kirjaveaga "eraisk" muidu väheneb arve maksmise tõenäosus.

Aga miks koduaadressi küsimise peale endiselt seadus ei võimaldada rakendada sanktsioone koheselt kui kaupmees küsib seda tehingu sooritamiseks kuid selle tehingu edukaks lõpuleviimiseks ei ole see üldse vajalik. See on sama, et kliendiks registreerides küsib teenindaja, et näidake või lubage katsuda korra oma suguelundit ja alles siis regame teid ära ja saate soodust ka.

[Betamax]

LOL@kelmid.
Sain ka selle e-maili. Ühes Facebooki grupis keegi kirjutas päris hästi:

[bugbrake]

Kui keegi kohtu kaudu mingit hüvitist ei nõua ja huvi selle vastu ei ole siis muidugi lõpuks unustatakse ära. Inimesed kokku võtta ja ühiselt kaebus esitada ja keegi pädev advokaat võiks selle ettevõtta.

[Betamax]

Kollektiivset ühishagi ei saa Eesti seaduste järgi esitada.

[Prillpapa]

Isegi üksikhagi ei tarvitseta menetlusse võtta, kui isikul puutub konkreetne puutumus teemaga, ehk näiteks kui riigi käest lekivad isikuandmed aga mitte konkreetselt sinu andmed, siis kohtusse kaevata saab see, kelle andmed on lekkinud aga mitte see kes on puutumata.
Teine teema on kahjunõue, kus isikuandmete lekke kahjut on keeruline mõõta, või kas üldse kahju tekkis-tekib, on küll jah moes see moraalse kahju nõutamine nagu Kaja mees sai ajaleheartiklist kahjustada ja nõudis rahalist hüvitist ja ka sai nõutu

Muidu antud loo pealkirjastamine on ka küsitav, et "kelmid..", kelmus on konkreetse süüteo kooseisuga karistatav tegu, kui uurimine olla alles algusjärgus aga keegi juba teab, et tegu kelmusega..
Seni ei ole ühtegi viidet näinud, et just kelmusega ehk "kelmus on varalise kasu saamine tegelikest asjaoludest teadvalt ebaõige ettekujutuse loomise teel." oleks tegemist..
Aga eks see tänane meediaruum ongi selline "vaba", loetakse Putini mõtteid ja võib kirjutada mida iganes mille iganes kohta fantaasiat pähe tuleb - kõik tarbitakse-ostetakse ära

Lisaks sellised andmevarguste kuriteoks liigitamine oleneb vaatleja või ka teo toimepanija positsioonist. Eesti vaatest on tegu kuritegevusega aga kui andmed pani pihta näiteks Israeli Mossad või Venemaa FSB nende poolt sanktsioneeritud luureeesmärkidel, on nende vaatest tegemist täiesti seaduspärase tegevusega. Või vastupidi, kui Eesti küberluureüksus paneb varjatult toime andmevarguse nt kuskilt Venemaa firmast/asutusest on see Eesti vaatest suur töövõit ja edu aga Venemaa vaatest küberkuritegevus ja tunnistus naabri kurjadest-kahjustavatest plaanidest.

[Sahasrahla]

[raul141]

Mul õnneks telefoni numbrit ja aadressi seal kontol polnud, täna esimest korda registreerisin konto, muidu ei oleks saanud teada, mis andmed täpselt varastati. Hiljem rämpspostist avastasin, et üldine teavitus tuli andmevarguse kohta. Ma isegi ei teadnud, mis e- maili ma sinna kümmekond aastat tagasi andsin, hot- i ju kustutasin. Samas on naljakas, politsei ise ka küsib andmeid id- kaardi taotledes tundlikke andmeid , mitte , et rikkudes midagi, aga kui midagi kogutakse, ongi olemas oht rikkumisele. Eitades on sama naljakas lugu nagi ID kaardi turvalisuse mullikese puhumises.

[HPN]

[elukaz]

Isegi kui on mingi hagi või muudpidi otsus ühiseks kompenseerimiseks.. kui mistahes summa mida lekitaja on võimeline maksma jagada 700k-ga, mida see kompenseerib? Ja seda ei saa niisama muff nõudmiseni kätte.

[netcat]

Kõlab nagu samasugune õigustus, miks Eestis surmasaanu omastele moraalset kahju ei maksta "ega see ei too ju surnut nagunii ellu tagasi", leinake ja kannatage terviseks.

Kahju põhjustaja peab lihtsalt haiget saama ja kõvasti, niiet rahakott verd jookseb, siis teinekord teab et ei tee ja teised võtavad ka õppust edasiseks.

[raul141]

Teine asi on see, et politsei kriminaaluurimise võimalused ei võimalda või osata ja veel kahju välja arvutada. Et teatud meediahiidude puhul ju miljardid läinud "ühiskassasse" näitena, võiks riik vahendajana nagu praegu vägivallaohvrite toetused, üldsumma kannatajate vahel ise laiali jagada. Ulme võibolla, aga riik andmekaitse organisatsioonina ainult karistades ei muuda väga midagi, sest kannatajad ikka jäävad oma murega. Ja nagu alati, tuleb tekst- "seadus ei võimalda teisiti" Aga tehke siis nii, et võimaldaks. Aga teadagi-"meil pole volitusi.......... "

[napoleon]

[elukaz]

[Prillpapa]

[woox2k]

[elukaz]

Mismoodi? Näiteks on kliendikaart mille külge tekivad mingid punktid või misiganes mis ei seostu sinu andmetega aga näitavad kui tubli klient sa oled ja palju sulle soodukat teha. Või muud sarnast mis ei nõua kodust aadressi ja kinganumbrit. Arvan et ei ole võimatu töötavat süsteemi välja mõelda. Aga kui isikuandmete kogumine on lubatud siis milleks vaeva näha?

[woox2k]

[Betamax]

[Sahasrahla]

[raul141]

Hea küll, andmete lekkimine, kui näitena teatud inimeste andmed "vaenuriiki" lekivad ja kompromiteerivat andmed pakuvad ka teatud luureteenistusele, kas mitte pole tegu "terroristliku ühenduse" tahtliku või tahtmatu kaasaaitamisega? Ja mind , kui suudetakse veenda millegi "teostamisel" kas pole oht riiklikult tähtsa juhtumiga? Sellest ei räägita, aga miks mina , kui "pätt "ei võiks neid andmeid nii kasutada? Ja vast teatud juhtivpoliitikud ikka vahel on käinud soodsalt apothekas sisseoste tegemas?

[wex]

[Betamax]

On see vastu võetud või oli homoseadus olulisem?

[Osiris]

Kuskil uudistes mingi tegelane väitis, et miks te andsite oma kodu aadressi siis apteegile - aga - enne kui nad selle jama avastasid oli see väli kohustuslik. Peale seda muudeti vabatahtlikuks ja väideti siis, et miks te andsite oma aadressi...

Kui tellin pakiautomaadi kaudu siis milleks vaja küsida aadressi....

[elukaz]

Ise olete lollid kui vastate mis me küsime

[olka]

mylook.ee on selline epood, mis küsib kohustuslikus korras tellija aadressi, isegi siis kui tellimus on pakiautomaati. Suht kehv värk.

[Draqula]