Twitter
Google plus
Facebook
Vimeo
Pinterest

Fluid Edge Themes

Blog

Home  /  #SafellyWordpress   /  Możliwość nieautoryzowanego pobrania listy mailingowej z popularnej wtyczki WordPress Email Subscribers & Newsletters
Email Subscribers & Newsletters wtyczka wordpress

Możliwość nieautoryzowanego pobrania listy mailingowej z popularnej wtyczki WordPress Email Subscribers & Newsletters

Wtyczka Email Subscribers & Newsletters jest bardzo znaną i szeroko używaną wtyczką do WordPress. Pozwala ona na zbieranie listy mailingowych, subskrybentów, tworzenie newsletterów. Korzysta z niej aktywnie ponad 100 tysięcy instalacji WordPressa.

Błąd we wtyczce Email Subscribers & Newsletters

Błąd w wersji do 3.4.7 pozwalał na pobranie listy subskrybentów bez żadnej autoryzacji. Tj. dowolna osoba może pobrać listę osób zapisanych na Twoją listę subskrypcji. Możliwe było pobranie wszystkich danych odbiorców, w tym nazwisk i adresów e-mail. Nie ma również żadnej autoryzacji – tzn. że boty mogły automatycznie wykradać te dane, bardzo szybko i sprawnie.

Jak się chronić

Należy zaktualizować jak najszybciej wtyczkę do najnowszej wersji – wersja 3.4.8 jest już bezpieczna i nie zawiera wymienionego błędu.

Wyciek danych a ochrona danych osobowych

Należy pamiętać, że podlegamy prawom związanym z ochroną danych osobowych. Tego typu wyciek może zostać więc potraktowany potencjalnie jako złamanie prawa w stosunku do naszych użytkowników.

Ustawowy obowiązek ochrony danych osobowych przed wyciekiem zawarty został w art. 36 ust. 1 oraz uzupełniony w art. 37 ustawy o ochronie danych osobowych. Administrator danych jest obowiązany zatem do zastosowania środków technicznych i organizacyjnych zapewniającą ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust 1 u.o.d.o.).

(…)

administrator danych osobowych może odpowiadać za niezachowanie wymaganych środków zabezpieczeń. Zgodnie bowiem z art. 52 u.o.d.o. „kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”

Cytat i pełna wykładnia prawna pochodzi ze strony: http://www.ghmw.pl/odpowiedzialnosc-administratora-danych-osobowych-i-osob-przez-niego-upowaznionych-za-wyciek-powierzonych-danych-osobowych/

Źródła:

 

 

Post a comment

Najnowsze wpisy