Se tardó más de un mes en reparar la fuga de datos. No hubo notificación a la oficina de protección de datos.
Niños y adultos disfrutan del clima de verano en el Mythenquai lido: los datos de los bañistas estuvieron disponibles en Internet durante semanas.
Cuando las administraciones públicas solicitan datos a sus ciudadanos a través de Internet, pisan un terreno complicado. Los requisitos de seguridad de datos son particularmente altos para las agencias gubernamentales. Ahora la Oficina de Deportes de Zúrich ha cometido un descuido. Durante semanas, estuvieron disponibles los datos de hasta alrededor de 45.000 compradores de suscripciones. Se trata de nombres, direcciones, números de teléfono y, sobre todo, retratos engañosos.
Además: La forma en que el departamento de deportes trató el caso no debería corresponder exactamente al libro de texto. Cuando un programador llamó la atención de la agencia sobre la fuga de datos, la agencia tardó ocho días completos en reaccionar.
Y pasaron otras tres semanas antes de que se arreglara el error. La oficina deportiva explicó que de inmediato se comunicaron con el proveedor de la tienda en línea, quien prometió una solución.
Se ha prescindido de una doble verificación
Los diarios Tamedia hicieron público el caso y hablaron con el hombre anónimo, quien se describe a sí mismo como un amigable hacker. En consecuencia, se encontró accidentalmente con la filtración cuando quería renovar su suscripción a Badi.
El abono es válido para las piscinas municipales cubiertas y de verano, así como para las pistas de hielo artificial. A cada suscripción se le asigna un número de diez dígitos. El hacker notó que ingresar este número en el sitio web es suficiente para encontrar sus propios datos. Esto sin doble verificación.
El hombre, que es desarrollador de software de oficio, luego probó una combinación diferente de números elegidos al azar y se encontró con los datos de otro usuario. Usando un programa de computadora simple, logró descargar los datos de 500 personas en Zúrich en un día. «Con más tiempo, podría haber obtenido 20.000 registros de datos de esta manera», se le cita diciendo en el informe del periódico.
El hombre denunció la situación a mediados de junio. Los desagües se renovaron a mediados de julio. Desde entonces, debe ingresar su nombre completo además del número de suscripción para acceder a la cuenta.
En principio, toda persona que esté registrada en la ciudad de Zúrich y tenga un inicio de sesión en línea podría haber accedido a los datos durante un mes. Esto se hace a través del servicio «Mi cuenta», que, según la propia publicidad de la ciudad de Zúrich, es el punto de acceso central a los servicios en línea de la ciudad de Zúrich. “Aquí puede, por ejemplo, administrar sus impuestos, reservar una fecha de boda, solicitar una vivienda en la ciudad, informar una mudanza, organizar el cuidado de niños u ordenar documentos de estado civil”, se lee en el sitio web.
En este sentido, la ciudad da el visto bueno. «Mi cuenta» es el acceso central a los servicios en línea de la ciudad. Pero «Mi cuenta» y la tienda en línea de la oficina de deportes son aplicaciones separadas, técnicamente están separadas. «No hubo robo de datos personales en ‘Mi Cuenta'», asegura el departamento deportivo.
La oficina de deportes, bajo el liderazgo político de Filippo Leutenegger (FDP), escribe sobre la filtración de suscripción que lamenta que la brecha de seguridad significara que existía el riesgo de que personas no autorizadas pudieran haber accedido a datos de terceros. Sin embargo, no se causaron daños concretos, según un comunicado de prensa del lunes.
Cita a Bruno Maurer, director ejecutivo de la empresa de TI con la que trabaja el departamento de deportes, n-tree solutions Schweiz GmbH. «No hay evidencia alguna de que personas no autorizadas hayan accedido a datos de terceros mientras existía la vulnerabilidad».
Sin embargo, la pregunta importante es si se podría determinar el acceso de terceros. Entonces, si puede descartar el abuso al menos con cierta certeza.
El departamento de deportes escribe: «Según nuestro proveedor, no es posible sacar una conclusión al cien por cien sobre las consultas específicas». Así que no se puede descartar el abuso.
Pero «actualmente no hay indicios de que los datos hayan sido retirados o comprometidos en relación con los posibles ataques de piratas informáticos».
El departamento de deportes violó la obligación de informar
Finalmente, es complicado que el departamento de deportes se abstuviera de informar a la oficina de protección de datos de la ciudad de Zúrich, como exige la ley. La agencia se enteró de la filtración por el hacker. La oficina de deportes asume la posición de que los datos no están asociados a ningún riesgo particular para los derechos fundamentales de las personas. La oficina de deportes evaluó esto cuando se creó la tienda web en 2022.
La oficina municipal de protección de datos no participó cuando el departamento de deportes creó la tienda web. Esto tampoco está previsto por la ley: una autoridad juzga por sí misma si es necesaria o no una revisión por parte de la autoridad de protección de datos.
Las cosas son diferentes cuando se trata de la fuga actual. Aquí, la autoridad de protección de datos no acepta la justificación de la oficina deportiva. Los derechos fundamentales de las personas en cuestión estaban potencialmente en peligro. Patrizia Schwarz, subdirectora de protección de datos de la ciudad de Zúrich, dice: «El departamento de deportes ha violado su obligación de informar».
Incluso si el caso tuviera un resultado menor, plantea interrogantes sobre cómo la ciudad de Zúrich maneja los datos de sus ciudadanos. Todavía deberían dar de qué hablar cosas políticas.