Ghostery termina violando el GDPR a la hora enviar el correo para cumplirlo
El GDPR está dando bastantes quebraderos de cabeza a muchas organizaciones y servicios. Google y Facebook parece que tendrán que hacer frente a varios procesos judiciales derivados de demandas presentadas por usuarios. Otros, por el temor a las sanciones, han preferido cerrar directamente el acceso, como diversos medios de Estados Unidos e Instapaper.
Cumplir con el GDPR no parece sencillo para muchos, pero hoy vamos a cubrir un caso que resulta más bien cómico y hasta paradójico. El servicio implicado en el hecho fue Ghostery, la conocida extensión para navegadores dedicada a bloquear los rastreadores de Internet para así reforzar la privacidad de los usuarios. Es software libre desde marzo de 2018, cuando sus desarrolladores publicaron su código en GitHub bajo la licencia Mozilla Public License 2.0 (MPL 2.0).
Aunque no es obligatorio registrarse para utilizarlo, Ghostery cuenta con sus suscriptores. Algunos de estos se llevaron la semana pasada un buen disgusto por culpa de un error humano bastante tonto. Al enviar el email para avisar de los cambios aplicados para cumplir con el GDPR, se pusieron todos los destinatarios en la sección “Para” en lugar de Copia de Carbón Oculta (CCO) o realizar el envío de una copia individual por cada usuario, haciendo que cada suscriptor pudiese ver las direcciones de los otros 500 destinatarios del email. Lo peor es que se suponía que aquello fue para cumplir con el Reglamento de la Unión Europea, pero al hacerlo de esta manera se ha terminado por violarlo. Los responsables de Ghostery han publicado la siguiente explicación de lo sucedido:
Recientemente, decidimos dejar de usar una plataforma de automatización de correo electrónico de terceros. En un esfuerzo por ser más seguros, queríamos administrar las cuentas de email de los usuarios en nuestro propio sistema para así poder monitorizar y controlar completamente las prácticas de datos que los rodeaban. Lamentablemente, debido a un problema técnico entre nosotros y la herramienta de envío que elegimos, el correo electrónico sobre el GDPR, que se suponía que era un único para cada destinatario, se envió a un grupo de usuarios, revelando accidentalmente las direcciones de cada uno de los destinatarios en el campo “Para”. Nos disculpamos sinceramente por este incidente. Estamos horrorizados y avergonzados de que esto haya sucedido, y haremos todo lo posible para asegurarnos de que nunca vuelva a pasar.
HELL YES @Ghostery JUST SENT ME A GDPR EMAIL WITH FIVE HUNDRED EMAIL ADDRESSES CC’ED ON IT!! THANKS GHOSTERY!!!! pic.twitter.com/y0Xas28wd1
— Linguica (@andrewrstine) May 25, 2018
Tras detectar el incidente, los encargados de Ghostery detuvieron sus operaciones de envío de email y publicaron el sábado instrucciones sobre cómo borrar una cuenta en su servicio. Además, han dicho que van a informar a las autoridades de la Unión Europea sobre lo ocurrido, cumpliendo así con lo estipulado en el GDPR.
Obviamente, esto no se trata de una brecha de datos y lo filtrado solo han sido las direcciones de email. Sin embargo, en caso de caer estos en manos de una persona malintencionada, podrían ser usadas para campañas de spam o de estafas.
Fuente: BleepingComputer
Powered by WPeMatico
