autor: Konrad Serafiński
Wyciek danych osobowych ponad 2 tysięcy uczestników E3 [Aktualizacja]
Dane osobowe ponad 2 tysięcy uczestników E3 2019 wyciekły do sieci. Wśród poszkodowanych osób są dziennikarze, YouTuberzy oraz twórcy. O całej sytuacji i jej skutkach opowiedział Michał Mańka, redaktor GRYOnline.pl oraz prowadzący TvFilmy.
AKTUALIZACJA:
Okazuje się, że wyciek danych osobowych 2 tysięcy osób nie jest jedyną wpadką ESA. Serwis GamesIndustry.biz dotarł do baz danych osobowych z dwóch wcześniejszych edycji targów E3, które jeszcze do dziś były dostępne na starej stronie wydarzenia. Listingi pochodzące z 2004 i 2006 roku zawierały łącznie ponad 6 tysięcy nazwisk i kontaktów. ESA na szczęście usunęła je ze strony, ale sam fakt, że były one publiczne od dziś, budzi spore obawy.
Czym są targi E3 dla przemysłu gier wideo, chyba nie trzeba nikomu tłumaczyć. Wydarzenie w Los Angeles pozostaje świętem graczy, nawet w momencie, kiedy wielkie firmy (jak Sony) nie decydują się na przyjazd. Pamiętajmy jednak, że E3 skierowane są przede wszystkim do dziennikarzy branżowych (w przeciwieństwie do gamescomu, który jest zdecydowanie bardziej otwarty na zwiedzających). Niestety, w tym roku coś poszło nie tak i do sieci wyciekły ponad 2 tysiące danych osobowych YouTubuerów, dziennikarzy, twórców oraz zaproszonych gości. Dlaczego tak się stało? O komentarz poprosiłem jednego z redakcyjnych kolegów, Michała Mańkę, którego dane (jako że był uczestnikiem E3) również „hasają” swobodnie po sieci:
ESA zaliczyło wpadkę na niewyobrażalną skalę. Niezabezpieczony plik z wszystkimi danymi kontaktowymi dziennikarzy czy YouTuberów krąży sobie po sieci, co na pewno będzie służyło nadużyciom. Taka wpadka odbije się bardzo źle na E3 i wiele firm oraz reprezntantów mediów może za rok nie chcieć się dzielić swoimi danymi, a w rezultacie - nie pojawi się na imprezie.
Organizator targów E3, czyli Entertainment Software Association (w skrócie ESA), zawsze prosi wyżej wspomniane osoby o rejestrację w celu przyznania akredytacji. Wymagane dane to imię, nazwisko, nazwa redakcji, adres e-mail, numer telefonu, a także adres zamieszkania. Jak wygląda ten proces?
Sam proces rejestracji na E3 jest dość prosty: wypełniamy swoje dane osobowe (wraz z danymi paszportowymi!), informacje o naszym pracodawcy i dorzucamy przykładowe treści stworzone przez nas w ciągu ostatnich kilku miesięcy. Dopiero potem następuje weryfikacja i akceptacja takiego zgłoszenia. I choć wyciek informacji kontaktowych nie zawiera naszych numerów paszportów, nie mam pewności, czy te dane nie zostały „zabezpieczone” równie nieudolnie.
Wszystkie dane osobowe trafiły w jednym dokumencie tekstowym na oficjalną witrynę ESA. Niestety, przez pewien czas każdy, kto odwiedził stronę, mógł bez najmniejszych problemów pobrać plik. Sprawę nagłośniła Sophia Narwitz, która na swoim prywatnym koncie w serwisie YouTube udostępniła film prezentujący wyciek danych. Materiał możecie obejrzeć poniżej.
Autorka materiału jeszcze przed publikacją filmu skontaktowała się z ESA i poinformowała o problemie. Dała znać także innym dziennikarzom. Warto jednak podkreślić, że problem dotyczy nie tylko pracowników prasowych. W pliku obecne były także dane analityków, twórców i YouTuberów. ESA po jakimś czasie usunęła link prowadzący do listy z danymi osobowymi, jednak ta wciąż była dostępna dla osób, które posiadały bezpośredni link lub zwyczajnie potrafiły skorzystać z pamięci podręcznej strony. Ostatecznie wszystkie wrażliwe dane zniknęły z serwerów, a stowarzyszenie przeprosiło za zaistniałą sytuację w prywatnych wiadomościach mailowych, których treść... no zresztą, sami zobaczcie:
ESA zostało poinformowane o luce w zabezpieczeniach portalu w sekcji wystawców na targach E3. Niestety, luka została wykorzystana i lista została upubliczniona. Przykro nam, że tak się stało i przepraszamy.
Zapewniamy członkom i wystawcom ESA listę mediów na chronionej hasłem stronie wydawcy, aby mogli zapraszać Was (dziennikarzy, YouTuberów etc. - przyp. red.) na konferencje prasowe, kontaktować się z Wami, a także informować o wydarzeniach. Przez ponad 20 lat nie stanowiło to żadnego problemu. Kiedy dowiedzieliśmy się o wycieku danych, usunęliśmy sekcję na stronie i upewniliśmy się, że lista nie jest już dostępna.
Jeszcze raz przepraszamy za niedogodności i już podjęliśmy kroki, aby to się nigdy nie powtórzyło.
Jak sami widzicie, sytuacja nie jest zbyt kolorowa i pojawia się pytanie, czy ESA dostanie szansę „nie powtórzyć” swoich błędów. Przypomnijmy, że dane dotyczyły także obywateli Europy, a to oznacza RODO. Przed stowarzyszeniem prawdopodobnie długie batalie sądowe, ale jak to wpłynie na same targi? Michał Mańka dobitnie komentuje:
Najczarniejszy scenariusz to koniec E3 w takiej formie, jaką znamy. Wiele zależy od tego, jak zostanie to rozstrzygnięte prawnie, bo doskonale wiemy, że Amerykanie lubią się sądzić o wszystko. A w tym wypadku i my nie powinniśmy odpuścić, szczególnie po tak żałosnym wytłumaczeniu, jakie ESA wysłało poszkodowanym.
W imieniu wszystkich osób, których dane zostały upublicznione, mamy nadzieję, że nie trafią one w niepowołane ręce. Co się tyczy ESA, to jako gracze musimy wierzyć, że nie odbije się to negatywnie na imprezie, która od lat stanowiła wizytówkę branży, nawet jeśli w ostatnim czasie dyskutowano na temat tego, czy wydawcy nadal potrzebują E3.