Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima. El error no fue corregido a pesar de ser puesto de manifiesto en sede judicial; tuvo que intervenir la Agencia Española de Protección de Datos para que, tras más de un año,…
Los datos personales de un gran número de niños en proceso de adopción o adoptados y las correspondientes parejas de adoptantes, se hallaban en redes de intercambio de ficheros P2P como el conocido eMule; la información se contenía en dos bases de datos .mdb. La Agencia Española de Protección de Datos ha sancionado a la Asociación que estaba a cargo de estas adopciones, pero los ficheros podrían haber sido intercambiados por multitud de usuarios.
El ataque hacker que comprometió los datos de casi 8000 clientes de Arsys se ha saldado con una multa de 6000 euros a esta entidad, por entender que no cumplía con todas las medidas de seguridad. La Resolución detalla el procedimiento seguido por el atacante (SQL injection) y se pone de manifiesto que en el momento del ataque Arsys tenía un total 20 vulnerabilidades graves que permitían acceder a los datos de los clientes, como la existencia de contraseñas de administradores en el código fuente de algunas aplicaciones.
Una Directiva Europea, que será aprobada en las próximas semanas, obligará a las operadoras de telecomunicaciones a notificar a la autoridad competente y en su caso al particular, cualquier violación en sus sistemas que haya podido afectar negativamente a la intimidad o a los datos personales del abonado o particular. La Comisión Europea y el Supervisor Europeo de Protección de Datos recomendarán que esta medida se amplíe a cualquier sector.…