[Tanel]

Iga teise eestlase isikukood, ostuinfo ja kontaktandmed lekkisid apteegi- ja haiglakaupadega tegeleva Allium UPI süsteemist. Ettevõte haldas Apotheka, Apotheka Beauty ja Pet City kliendikaardi omanike andmeid.

Kokku saadi kätte üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit. Samuti lekkisid 43 miljoni ostu andmed, kus on näha käsimüügiravimid ja muud apteegikaubad, nagu plaastrid või valuvaigistid. Ostetud retseptiravimite andmeid kurjategijad kätte ei saanud. Ka paroole ega pangaandmeid nende kätte ei sattunud.

Loe edasi: https://www.err.ee/1609302060/kelmid-varastasid-700-000-apotheka-kliendi-andmed

[bugbrake]

Millal ja kust on saanud alguse hakata kliendi andmeid koguma. Ma mõtlen üldiselt. Olid ajad kus neid andmeid ei korjatud, oli sul siis n-ö kliendikaart või mitte.
Korralik andmete leke (töö oli kiire ja korralik), huvitav kas minnakse kohtusse ka mõne kahjunõudega nüüd?

[netcat]

[degreal]

https://www.delfi.ee/artikkel/120282903/aki-peadirektori-asetaitja-inimesed-peaksid-kusima-miks-te-vajate-mu-kodust-aadressi

[psauce]

No on kelmid. Kui keegi vastutaks, siis asi muutuks, samas Eestis üldiselt keegi kunagi ei vastuta. Ikka juhtub.

Isikustatud kliendikaardid on saatanast.

[Prillpapa]

Antud mastaapse andmelekke juures on tähelepanuväärne riigi institutsioonide neutraalne toon, varasemalt kui on ca 100x väiksemad andmelekked on AKI manitsemist ja ähvardusi ulme trahviga firma maapealt pühkida kõik kohad täis. Lisaks võimu näitav repliik "firma teeb juhtumi uurimisel koostööd".
Nüüd nagu selline paha juhus lihtsalt, nagu riigi enda apsude/kahjude puhul alates andmeleketest kuni ikaldunud külmlaoni - süüdlased on kuskil mujal, kedagi ei karistata, vaja maksumaksjalt raha juurde ja teha edaspidi paremini.

700 000 isiku andmed + aastaid ajalugu leke on vist "too big to fail", nagu pankadega, kui suur pank on varastanud ja sigadusega hakkama saanud on see kõigi probleem ja riik võtab kahjud enda kanda, kui väiksem suli, siis trellid ja hoiatuseks teistele.

[netcat]

Aga äkki pole oluline mitte see, kui palju lekkis, vaid hoopis kelle juurest? Ega ei julge ju haukuda selle peale kes võib hammustada vastu.

[bugbrake]

Prillpapa uurimine on ju pooleli ning siin vastutab selle lekke eest täielikult erafirma. Mingid trahvid ja kahjunõuded peaks selle saaga lõpus ikka tulema aga sinna läheb aega kuni see asi kohtusse jõuab.

[Tanel]

[Tanel]

Siin ka kirjutab: https://ria.ee/uudised/ettevotte-andmebaasist-laeti-ebaseaduslikult-alla-apotheka-kliendikaartide-omanike-andmeid

[sukelduja]

[Janis]

[degreal]

[Janis]

Depo oma näiteks pole seotud mitte millegagi, lihtsalt annavad ja kasuta.

[netcat]

Seda enam tekib küsimus et mis mõte sellel on. Et oleks jupp plasti mida endaga kaasas vedada? Pangu siis ketiga kassa külge 1 kaart ja kõik kasutavad seda.

[ninzor]

[bugbrake]

Huvitav kuidas siis andmed kätte saadi? Saame ehk tulevikus täpsemalt teada. Oli siis tegemist siis lohakuse, oskamatusega, ebakompetentsete inimestega jne. See toimus juba jaanuari kuus, millal siis see avastati või kuidas see avastati.

[elukaz]

700k need on Eestist? Kuidas saab nii palju registreeritud kliente üldse olla?

[HPN]

https://arileht.delfi.ee/artikkel/120282947/suur-andmeleke-toimus-linnamaele-kuuluvast-ettevottest-millise-ariga-on-tegu

Mõlemad ärid on samuti Linnamäega seotud.

[napoleon]

Kiri tuli ka neile, kes asjaga seotud on

Spoiler

tsitaat:

Hea klient! Soovime Teid teavitada juhtumist seoses Apotheka kliendikaardi andmetega. Teatud osa Teie isikuandmeid, mida on Apotheka kliendikaardi programmi raames kogutud kuni 2020. a veebruari lõpuni, võivad olla jõudnud küberrünnaku tagajärjel kolmandate isikuteni, kellel ei tohiks neile andmetele ligipääsu olla. Küberrünnak toimus programmi haldaja, Allium UPI OÜ, vastu, kes pakub Apotheka apteekidele ja teistele koostööpartneritele (Apteegi Beauty OÜ, PetCity OÜ) ühtset lojaalsusprogrammi. Me võtsime koheselt meetmed, et piirata kuriteo ulatust. Küberrünne on peatatud, kuid isikuandmete koopiad on tõenäoliselt jätkuvalt ründaja valduses. Politsei on küberründe korraldajate suhtes läbi viimas kriminaalmenetlust. Andmekaitse Inspektsioon on juhtunust teadlik ja läbi viimas järelevalvemenetlust. Ründaja sai Allium UPI OÜ süsteemidesse sisse käesoleva aasta jaanuaris ning laadis alla kuni 2020. aasta veebruari lõpuni kliendiprogrammiga liitunute erinevaid andmeid, sh kliendi mitteravimite ja mõnel üksikul juhul ka käsimüügiravimite ostuajalugu kuni 2020. a. veebruari lõpuni. Teadaolevalt ei ole kurjategija valdusesse sattunud hilisemate (2020 veebruari lõpp - 2024) tehingute andmed ja mitte ühegi sel perioodil liitunud uue kliendi andmed. Tahame rõhutada, et sisemisi andmebaase ja süsteeme ei rikutud ja viimaste aastate ostudega seonduvad ja muud kliendiandmed on turvaliselt hoitud. Küberründe käigus kurjategijale ligipääsetud andmete hulgas on lisaks nimele, e-posti aadressile, telefonile, isikukoodile või sünniajale, finantsandmed, mis puudutavad üksnes a-raha jääki, ostusummat ning ostudelt saadud allahindlust. Pangakaardi andmed, paroolid ja muud finantsandmed ei kuulu kliendiprogrammis talletamisele ja seega ei olnud kurjategijatele kättesaadavad. Ostuajaloo andmete koosseisus ei koguta konkreetsete ravimite, sh retseptiravimite, käsimüügiravimite ja riiklike soodustustega mitteravimite ostude infot. Siiski on vähese osa klientide ostuajaloos erandlikel juhtudel salvestunud info mõningate ostetud käsimüügiravimite kohta. Ostuajaloos on nähtavad muude apteegikaupade nimetused, kuid mis võivad samuti anda teavet Teie tervisesisundi kohta. Osade klientide kohta on varastatud andmete hulgas ka aadressi andmed. Kuivõrd on teadmata, millised plaanid kurjategijal saadud isikuandmetega on, palume olla erakordselt tähelepanelikud Teile saadetavate erinevate e-kirjade sisu osas, kus saatjaks on Apotheka´t, Apotheka Beauty´t, PetCity´t jäljendav kolmas isik ja kirja sisu puudutab Teie terviseandmeid. Veenduge, et e-kirja saatja on apotheka.ee, apothekabeauty.ee või petcity.ee. Enne, kui olete veendunud kirja päritolus ja tõesuses, ärge klikkige ühelgi veebilingil ega avage kirja manuseid. Kui saate väljapressiva sisuga pöördumisi, sh kõnesid, võtke esimesel võimalusel ühendust politseiga ja järgige politseilt saadud juhiseid. Kui soovite täpsemat infot oma kliendikaardiga seotud andmete kohta, saatke palun digitaalselt allkirjastatud taotlus aadressile andmekaitse@allium.upi.ee. Vastused saadame taotlejale krüpteeritult. Vastame Teie taotlusele esimesel võimalusel, kuid hiljemalt ühe kuu jooksul. Kui Teil ei ole digitaalse allkirjastamise ja dekrüpteerimise võimalust, võtke ühendust eeltoodud e-posti aadressil või telefoni teel 6 530 750 ja anname Teile juhised toimimiseks.

Aga tegemist on 2020 aasta andmetega. Seega ilmselt mingi lohakile jäänud dump/backup.

[netcat]

https://www.postimees.ee/7993849/videointervjuu-kuberkuritegude-buroo-juht-apotheka-kliendiandmete-varastamiseks-kulus-20-minutit

Siin on lähemalt sellest "kuidas kätte saadi".

[MatchMaker]

https://epl.delfi.ee/artikkel/120283085/juhtkiri-sinu-lohakalt-jagatud-andmetega-saab-palju-kurja-teha

[napoleon]

Täiesti mittemidagiütlev artikkel. Kodune aadress on selline... mnjah. Kui inimene ise kinnisvara omab, siis saab selle lihtsasti kätte(nojah, ta ei pruugi elada sellel kinnisvaral mida omab ja võib omada mitut kinnisvara, aga ikka).
https://arileht.delfi.ee/artikkel/120280335/tartlanna-uuris-sadade-eestlaste-kinnistute-andmeid-politsei-on-asjast-teadlik ... ja miskit illegaalset ei pidanudki tegema.
Mees ja koer tüüpi OÜ-d on ka tihti omaniku kodusele aadressile vormistatud.
Ei, mulle ei meeldi üldse et ka minu andmed võisid lekkida. Aga mingi suur katastroof see ka pole.

[Sahasrahla]

Nii antud juhtumi, kui ka eelnevate lekete põhjal tuleb edaspidi olla ikka väga kriitiline, millises ulatuses peaks andmeid teistega jagama ja kas üldse on alust.
Seda enam, kui lekkeoht on, tulevikku vaadates, aina süvenev probleem.

[teretalv]

Ma ise olen oma aadressiks pannud lähima pakiautomaadi aadressi mida ma reaalselt ka kasutan kohtadesse kus on koduaadressi väljapressivas vormis tellimuse esitamine ja/või kasutaja registreerimne.
See pole valeandmete esitamine kui müüjal ei ole tellimuse täitmiseks see vajalik, veelgi enam kui pakiautomaadiga tellin asja, samasse automaati mille aadressi eelnevalt lisasin kodu aadressiks. Aliexpressis nii asi töötabki, lisad koduadressi asemel pakiautomaadi aadressi koos postiindeksiga ja tuleb tasuta pakk hiinast automaati (ainult ühe Eesti automaadi firmaga see trikk töötab).
Seadus ei kohusta samuti aadressi küsima.

Ka arvega maksmisel puudub eraisikute puhul aadressi küsimise õigus ja seega ka kohustus seda teha puudub, arvet peab saama ainult enda nimele ja rohkem infot ei pea andma, paljud seda ei tea ja raiuvad, et seadus kohustab neid arvet koostades küsima kodu aadressi ja veel rohkem isiklike andmeid. Peab vaid vaatama, et eraisik on õigesti kirjutatud, mitte pole kirjaveaga "eraisk" muidu väheneb arve maksmise tõenäosus.

Aga miks koduaadressi küsimise peale endiselt seadus ei võimaldada rakendada sanktsioone koheselt kui kaupmees küsib seda tehingu sooritamiseks kuid selle tehingu edukaks lõpuleviimiseks ei ole see üldse vajalik. See on sama, et kliendiks registreerides küsib teenindaja, et näidake või lubage katsuda korra oma suguelundit ja alles siis regame teid ära ja saate soodust ka.