Pan Karel P., rodné číslo 37..., má náhradu srdeční chlopně a loni v lednu dostával lék Pradaxa, který se používá k ředění krve. Vyplývá to z databáze pacientů léčených tímto lékem, která včetně rodných čísel visí volně ke stažení na serveru Ulož.to. Z dalších údajů lze usoudit, že pacienti se léčili v plzeňské nemocnici.
Nebo jiný příklad: Pan J. B. z obce H. dostal v květnu mzdu od firmy Lidl 32 982 korun na svůj běžný účet u České spořitelny. Již dříve si vzal půjčku od téže banky ve výši 300 tisíc korun a splácel 5 445 korun měsíčně. Každý si jeho výpisy z účtů může prohlédnout na webovém úložišti, kam si je naskenované uložil a nezahesloval.
Češi jsou zkrátka s ochranou citlivých dat na štíru. Na úložné servery ukládají osobní údaje, které by neřekli ani vlastní manželce, zaměstnanci firem a úředníci si zde odkládají pracovní dokumenty, které nesou informace pro konkurenci. Na webu jsou k vidění interní telefonní seznamy, databáze klientů včetně mobilů či naskenované faktury.
"Lidé si chtějí zjednodušit práci a někam to přeposlat nebo si to uložit a jinde stáhnout. Riziko si neuvědomí," říká Jakub Mahdal, expert na internetovou bezpečnost z firmy Safetica. Uživatelé přitom volí nezabezpečený kanál, kde si jejich údaje může stáhnout kdokoli. A také je zneužít.
Ukradené know-how může firmu zlikvidovat
Prohlížením nezaheslovaných citlivých dokumentů na webových úložištích lze strávit nejedno zajímavé dopoledne. Neopatrně uložené údaje o konkrétních lidech a firmách otvírají nepoctivcům možnost k vybrání kont, k vydírání či k poškození konkurence.
"Posudek má být důkazem toho, do jaké míry společnost S. byla schopna dostát svým závazkům v dodávkách zboží podle smlouvy... se společností S.," uvádí se v posudku zadaném brněnskou advokátní kanceláří, který teprve bude použit v řízení u Krajského soudu v Brně. Lze si ho volně stáhnout z Ulož.to. Kdyby se dostal do ruky protistraně, měla by výhodu.
"Firmy vnímají jen bezpečnost ohledně antivirů, možnost úniku dat přehlížejí. Mluví se o tom málo, postižené společnosti totiž takové případy nemají zájem zveřejňovat," soudí Jakub Mahdal. Řešením je podle něj software, který nedovolí zaměstnancům z firemních počítačů přesouvat citlivá data. Ukradené know-how může firmu zlikvidovat i nevratně poškodit její pověst.
Policie řešila například případ, kdy firma na internetovém úložišti našla firemní výkresy konstrukcí, které podléhaly ochraně průmyslových práv. "Ukázalo se, že nešlo o únik s úmyslem firmu poškodit nebo na informacích vydělat, ale zaměstnanci si tak jen chtěli usnadnit práci, aby nemuseli objemný soubor posílat mailem svým pracovním partnerům," vysvětluje Karel Kuchařík, vedoucí odboru informační kriminality Policie ČR. Podezření ze spáchání trestného činu se tak nepotvrdilo.
Podle Mahdala se dají některé údaje i dobře zpeněžit. "Databáze s e-maily a mobily se dají použít na zasílání spamu a na direct marketing. Statisíce kontaktů mohou stát desetitisíce korun. Dražší jsou údaje o klientech vázaných na konkrétní značku nebo produkt, například mobilního operátora," vysvětluje. Vrcholem naivity je pak ukládání loginů a přístupových hesel do textových souborů.
Jak v březnu upozornil iDNES.cz, visel na serveru Ulož.to i soubor s některými osobními údaji více než 350 tisíc dobrovolných hasičů v Česku – obsahoval jejich data narození či čísla členských průkazů.
Na černém trhu nejvíce "frčí" čísla kreditních karet
Největší zájem je na černém trhu o databáze čísel kreditních karet. Ceny začínají na dvou až čtyřech dolarech za kus. Zneužít se však dá i jméno ve spojení s číslem účtu a e-mailovou adresou. "Pachatel ví, u jaké banky dotyčný je, a snaží se tak z něj e-mailem pomocí odkazu na falešný web banky vyloudit login a heslo," vysvětluje Mahdal jev nazývaný phishing.
Firma nebo právnická osoba, která si neuhlídá osobní data svých klientů nebo zaměstnanců, může mít oplétačky s Úřadem na ochranu osobních údajů. Stačí na web umístit seznam mobilních telefonů zaměstnanců bez jejich souhlasu. "Mobil je osobní údaj, pokud je podle toho osoba jednoznačně identifikovatelná," říká Hana Štěpánková, ředitelka tiskového odboru úřadu. Osobní údaj je jakýkoliv, podle kterého lze jednoznačně rozlišit konkrétní osobu.
Pro nakládání s ním musí dát dotyčný souhlas. "Lidé musí být informováni o tom, že se to předává někomu jinému. Firma jako správce osobních údajů je za to zodpovědná," vysvětluje Štěpánková.
Zatímco přestupky řeší ÚOOÚ, trestní případy jdou na Policii ČR. Jde o případy, kdy uniknou údaje osobního charakteru z veřejných institucí. Například pokud zdravotní sestra z léčebného domu pošle informace o pacientech omylem na jinou e-mailovou adresu, než měla.