Инспекция защиты данных начала на прошлой неделе надзорное производство в отношении продавца электричества 220 Energia OÜ. По словам советника инспекции Стийны Лийвранд, просмотр обработки личных данных был начат еще раньше.
Инспекция защиты данных изучает ляпсус 220 Energia
На минувшей неделе выяснилось, что в веб-среде 220 Energia можно заключить договор, используя чужие данные. Но от внимания общественности ускользнул тот факт, что через портал 220 Energia можно было попасть в систему данных Andmeladu, содержащую данные всех электропотребителей Эстонии, и посмотреть там данные любого потребителя электричества, личный код которого известен.
Администратором базы данных Andmeladu является сетевое предприятие Elering. В эту базу данных внесены все договоры, связанные с продажей и передачей электроэнергии, а также данные по потреблению энергии.
Любой может посмотреть свои данные по адресу http://andmeladu.elering.ee, если он идентифицирует себя через банк или при помощи ID-карты.
По словам отвечающего в Elering за инфотехнологии Рихо Лоди, у продавца электричества должна быть доверенность от потребителя на использование его данных, которую можно предоставить на бумаге или через Andmeladu.
На вебе 220 Energia выдача доверенности оформлялась теми же движениями, что и сам запрос. «У них была определенная форма, которую требовалось заполнить. Из полей, которые предлагалось заполнить, существенным был только личный код, остальные поля можно было заполнить произвольными данными», — сказал Лоди.
Таким образом, единственным индентификатором был личный код. Его, по словам Лоди, можно было ввести произвольно и получить из администрируемой Elering системы соответствующий этому коду список пунктов измерения (мест электропотребления) и данные этих измерений за заданный период времени.
«Сразу, как к нам поступила эта информация, мы прекратили обмен данными с 220 Energia и стали разбираться с этим, — рассказал Лоди. — Мы возобновили его только после того, как они закрыли свой ненадежный интернет-портал».
Через некоторое время 220 Energia опять открыла свой веб, добавив в него требование идентификации. Член правления предприятия Марко Алликсон сказал во вторник Postimees, что 220 Energia создала свой портал без идентификации пользователя, тем самым предоставив возможность использования личного кода другого лица, вполне сознательно.
«Таким образом, мы дали клиенту возможность заключить договор, например, за бабушку или дедушку», — объяснил он и добавил, что такую возможность они специально не рекламировали.
Проблема возникла тогда, когда отдельные пользователи портала 220 Energia начали манипулировать системой, заметил Марко Алликсон.