Zásada „sbírat jen minimum dat“ dlouho patřila mezi základní bezpečnostní doporučení. V praxi ji ale čím dál častěji naráží legislativa, která po službách vyžaduje ověřování věku či totožnosti. To vede k tomu, že organizace musí ukládat vysoce citlivé informace (například kopie občanských průkazů, pasů nebo řidičských průkazů), i když by je za normálních okolností vůbec neshromažďovaly. Každý takový požadavek zvyšuje hodnotu databází pro útočníky a zároveň zvětšuje dopady případného incidentu.
Jako ilustrace se uvádí případ z října 2025, kdy Discord informoval o kompromitaci externího poskytovatele zákaznických služeb. Vedle běžných údajů ze supportních tiketů (jména, e-maily, IP adresy, část fakturačních informací a komunikace se zákaznickou podporou) se mezi dotčenými daty objevily i snímky státem vydaných dokladů. Ty se týkaly uživatelů, kteří přes partnera řešili odvolání proti omezení účtu z důvodu věku.
Problém je systémový: jakmile předpisy vyžadují ověřování, vznikají nové úložiště dokladů napříč sektory – od platforem pro komunikaci a obsah až po e-commerce, školství, zdravotnictví či finance. Únik takových dokumentů má obvykle závažnější následky než únik samotných kontaktních údajů, protože doklady lze zneužít pro podvody a krádeže identity. Současně roste právní a reputační riziko pro organizace i jejich dodavatele, kteří data zpracovávají.
Výrazně citlivé je to i pro poskytovatele spravovaných služeb (MSP). Ti často obsluhují více klientů najednou a používají kombinaci různých nástrojů pro zálohy, endpoint ochranu, záplaty a monitoring. Pokud nejsou procesy a politiky napříč nástroji konzistentní, vznikají slepá místa, která mohou útočníci využít. V prostředí, kde regulace nutí k uchovávání stále citlivějších dat, se tak zvyšuje tlak na jednodušší správu, lepší přehled a omezení útočné plochy.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
