Violazione dei dati di Latitude Finance che ha colpito i clienti GE Money e altri da molti anni fa

Bisogno di sapere

  • Gli australiani hanno pochi diritti quando si tratta di convincere le aziende a cancellare i nostri dati personali 
  • I record dei clienti risalenti al 2005 sono stati consultati durante la violazione di Latitude 
  • Il nostro caso di studio chiede: 'Come possono le aziende essere autorizzate a conservare le mie informazioni personali per sempre?' 

Greg non sapeva cosa farsene quando ha ricevuto la notifica da Latitude Finance che era suo nome, indirizzo, data di nascita, numero di telefono e numero di patente di guida sono stati consultati da criminali informatici.

Non è che la violazione dei dati di marzo sia stata così sorprendente: è stato che non era un cliente di Latitude o della sua società predecessore GE Money da molto tempo. Perché Latitude aveva conservato le sue informazioni personali?

(La divisione australiana di servizi finanziari di GE Money è stata venduta agli investitori nel 2015, che l'hanno ribattezzata Latitude Finance. I dati dei clienti di GE Money sono stati trasmessi a Latitude come parte dell'accordo.) 

"Inizialmente, ho pensato che fosse un errore, ma alla fine ho capito che il credito doveva essere associato a termini senza interessi su una lounge che abbiamo acquistato circa 15 anni fa da Harvey Norman", afferma Greg.

Alla ricerca di una spiegazione, ha tentato di mettersi in contatto con Latitude, ma si è rivelato difficile.

 "Nonostante gli ampi dettagli forniti da Latitude che delineano ciò che stanno facendo per correggere la situazione e minimizzare la loro colpa, non puoi raggiungerli. Nessuno risponde mai al telefono".

Violazione peggiore di quanto riportato 

Come altre violazioni dei dati aziendali, la violazione di Latitude si è rivelata significativamente peggiore di quanto riportato per la prima volta.

Quando Latitude ha rivelato la violazione a metà marzo, ha indicato che gli hacker avevano avuto accesso a circa 330.000 record di clienti.

Alla fine di marzo, Latitude ha aumentato significativamente quel numero a 14 milioni, con molti record di clienti GE Money che risalgono fino al 2005 anch'essi coinvolti nella violazione.

Significa che i clienti precedenti e attuali di tutte queste società potrebbero essere coinvolti nella violazione dei dati

Secondo quanto riferito dalla ABC, la violazione ha colpito anche i consumatori che avevano sottoscritto carte di credito a marchio Coles che sono stati emessi da GE Money e potrebbero aver interessato anche i titolari di carte a marchio Myer dell'ex emittente di carte.

Entrambe le carte Coles e Myer erano inizialmente associate a Latitude, ma non è più così.

GE Money ha collaborato anche con molti altri importanti rivenditori, tra cui Harvey Norman, The Good Guys e JB Hi-Fi - e la maggior parte di queste relazioni è stata trasferita a Latitude Financial marca.

Nella sua notifica di violazione, Latitude ha riconosciuto che anche le persone che hanno richiesto credito con una società precedente sono state interessate.

Significa che i clienti precedenti e attuali di tutte queste società potrebbero essere coinvolti nella violazione dei dati.

Il problema con la conservazione dei dati a lungo termine

"Come possono le aziende essere autorizzate a conservare le mie informazioni personali per sempre?", vuole sapere Greg.

In modo inquietante, la risposta è che gli australiani hanno pochissimi diritti quando si tratta di convincere le aziende a cancellare i propri dati.

In risposta a un reclamo presentato a Latitude, a Greg è stato detto che i suoi dati erano stati conservati perché la società era legalmente obbligata a conservarli.

Quando abbiamo chiesto spiegazioni all'azienda, ci è stato detto che Latitude "è tenuto per legge a raccogliere e conservare determinate informazioni personali quando i clienti richiedono o aprono un account. Alcune di queste informazioni devono essere conservate per diversi anni dopo la chiusura di un account.

"Le politiche e le pratiche di conservazione dei dati di Latitude vengono riviste a fondo come parte dell'indagine in corso sull'attacco informatico", ha aggiunto il portavoce.

[Le aziende] devono adottare misure ragionevoli per distruggere le informazioni personali in loro possesso o garantire che vengano anonimizzate se non hanno più bisogno delle informazioni

portavoce dell'OAIC

Un portavoce dell'Ufficio dell'Australian Information Commissioner (OAIC), che sovrintende al Privacy Act, ha dichiarato a CHOICE che un business "deve adottare misure ragionevoli per distruggere le informazioni personali in suo possesso o garantire che vengano rese anonime se non ne ha più bisogno informazione".

Ma il portavoce dell'OAIC ha aggiunto un avvertimento, affermando che il requisito si applica "tranne nei casi in cui l'azienda è tenuta dalla legge o da un'ordinanza del tribunale o del tribunale a conservare le informazioni personali. Ad esempio, esistono requisiti specifici per conservare le informazioni personali ai fini dell'antiriciclaggio o a fini fiscali".

La revisione della legge sulla privacy richiede un cambiamento 

Non è chiaro come questa eccezione si applichi alle persone nella situazione di Greg e la mancanza di chiarezza sui diritti alla privacy è stata oggetto di discussione tra i responsabili politici.

In caso di tassazione, i dati devono essere conservati per cinque anni. Con l'antiriciclaggio il tempo è di sette anni. Non esiste alcuna legge di cui CHOICE sia a conoscenza (o potrebbe trovare) che richieda la conservazione dei dati personali per un massimo di 15 anni o più.

Potrebbe essere necessario conservare alcune informazioni personali per un massimo di sette anni per rispettare la legge, ma non vi è assolutamente alcuna buona ragione per conservare questi dati per 15 anni o più

CHOICE sostenitrice dei dati dei consumatori Kate Bower

"Dall'esperienza di Greg sembra che le aziende stiano interpretando le leggi sulla conservazione dei dati a proprio vantaggio a spese dei consumatori", afferma Kate Bower, sostenitrice dei dati dei consumatori di CHOICE.

"Potrebbe essere necessario conservare alcune informazioni personali fino a sette anni per rispettare la legge, ma c'è assolutamente nessuna buona ragione per conservare questi dati per 15 anni o più, esponendoli a minacce alla sicurezza informatica, come è successo a Greg e a molti altri." 

Il rapporto finale sulla revisione della legge sulla privacy, pubblicato a metà febbraio di quest'anno, raccomanda al governo federale di ripensare il disposizioni legali che richiedono la conservazione dei dati personali "per determinare se le disposizioni bilanciano adeguatamente la loro politica prevista obiettivi con i rischi per la privacy e la sicurezza informatica delle entità che detengono volumi significativi di informazioni personali", l'OAIC ci hanno detto i portavoce.

person_accessing_client_database_on_laptop

Ci sono alcuni motivi legali per cui le aziende devono conservare i tuoi dati, ma nessuno richiede la conservazione dei dati per 15 anni o più.

Un'azienda può trasmettere i tuoi dati?

Ci sono anche ambiguità nella legge quando si tratta di un'azienda che trasmette i dati dei clienti quando viene venduta a una nuova attività.

Secondo l'OAIC, una società "dovrebbe fornire informazioni personali a un potenziale acquirente solo se la fornitura di tali informazioni è coerente con gli obblighi del venditore in merito all'uso o alla divulgazione delle informazioni" ai sensi dei Principi sulla privacy australiani.

Niente di tutto ciò sembra essere di grande aiuto per le vittime di violazioni dei dati, che ora sono decine di milioni.

È spaventoso pensare che i miei dati siano detenuti da organizzazioni nel corso dei 50 anni in cui sono stato commercialmente attivo

Vittima della violazione dei dati di Latitude Finance, Greg

Bower afferma che le riforme alle leggi sulla privacy sono attese da tempo, comprese quelle che riguardano la conservazione dei dati, come raccomandato nel rapporto sul Privacy Act. È una raccomandazione supportata da CHOICE.

"Sosteniamo inoltre l'introduzione dei diritti individuali per richiedere la cancellazione dei propri dati personali, che si allineerebbe Le leggi sulla privacy australiane con una legislazione leader a livello mondiale come il regolamento generale sulla protezione dei dati (GDPR) dell'UE", Bower dice.

"Ma le leggi sono prive di significato senza rafforzare i poteri del nostro regolatore della privacy (l'OAIC). può chiedere conto alle aziende, il che sarà fondamentale per proteggere i consumatori dai dati futuri violazioni”.

Greg è particolarmente addolorato dal fatto che dovrà affrontare qualsiasi ricaduta della violazione in una fase della sua vita in cui la richiesta di credito è un ricordo del passato.

"I pensionati hanno difficoltà ottenere credito, quindi mi fa infuriare ancora di più il fatto che queste persone si stiano aggrappando ai miei dettagli", dice Greg. "Voglio dire, non abbiamo avuto credito da nessuno negli ultimi 10 anni."

"È spaventoso pensare che i miei dati siano detenuti da organizzazioni nel corso dei 50 anni in cui sono stato commercialmente attivo".

Ci preoccupiamo per la precisione. Vedi qualcosa che non va bene in questo articolo? Facci sapere o leggi di più su fact-checking presso CHOICE.

Immagini Stock: Getty, se non diversamente specificato.

SCELTA Icona della comunità

Per condividere i tuoi pensieri o porre una domanda, visita il forum della community CHOICE.

Visita la Comunità SCELTA
Bandiere della prima nazione

Noi di CHOICE riconosciamo il popolo Gadigal, i tradizionali custodi di questa terra su cui lavoriamo, e rendiamo omaggio al popolo delle Prime Nazioni di questo paese. CHOICE sostiene l'Uluru Statement from the Heart del popolo delle Prime Nazioni.

  • May 08, 2023
  • 21
  • 0
Irane Rooz
  • Stihl Fse 71
  • Stihl Re 90
  • Stihl Rma 460
  • Stihl Rma 510
  • Investimenti In Borsa
  • Stokke Sleepi Bed
  • Stokke Xplory V6
  • Conservazione
  • Soluzioni Di Archiviazione
  • Risarcimenti Assicurativi Sugli Strati
  • Dod Rc500s 1ch
  • Marmellata Di Fragole
    • Privacy

    © 2025 Irane Rooz. All rights reserved