Hirdetés
. Hirdetés

Durva összegű bírságot fizethet a DIGI

|

Százmillió forintos összeget kell fizetnie a távközlési vállalatnak azért, mert hanyag adatkezelésük miatt két ügyfél-adatbázisuk is hozzáférhetővé vált.

Hirdetés

Május 18-án kelt, de csak most, közel egy hónappal később került nyilvánosságra az a határozat, amelynek értelmében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmarasztalja a DIGI Távközlési Kft.-t, és ezzel együtt rekord összegű bírság, százmillió forint megfizetésére kötelezi a céget. Ilyen hatalmas büntetésre nem volt példa a GDPR-szabályozások bevezetése óta.

Hirdetés

A NAIH weboldalán megtekinthető határozat, és főleg a büntetés összege kifejezetten kemény, pedig a DIGI annak idején magától, azonnal jelezte a NAIH felé a két esetet, miután tudomásukra jutott a két eset, és végig együttműködtek a hatósággal. A cég figyelmét 2019. szeptemberében etikus hackerek hívták fel arra, hogy a digi.hu weboldal mögött álló, nyílt forráskódú kiszolgáló szoftver sebezhetőségének köszönhetően tárva-nyitva áll a kapu ahhoz, hogy bárki megszerezzen két ügyféladatbázist. Ezek egyike a hírlevélre feliratkozottak nevét és e-mail címét tartalmazta, a másik pedig részletes előfizetői adatokkal telepakolt, tesztelésre használt lista volt.

Utóbbiban egy csomó olyan információt is meg lehetett találni a név és e-mail cím mellett, amelyeket az ügyfelek általában szerződéskötéskor adnak meg, így látható volt az illető anyja neve, lakcíme, születési helye és ideje, telefonszámai, valamint személyi igazolványának száma.

NAIH-2020-1160-10-határozat

A DIGI értesítése nyomán a NAIH tavaly októberben kezdte a vizsgálódást azzal kapcsolatban, mindent megtett-e a cég az adatok védelméért, és a határozat szerint egyértelműen bizonyítható, hogy többszörös mulasztásuk okozta az adatvédelmi hibát. Nem csak a konkrét biztonsági rés megléte számít aggályosnak a hatóság szerint, de a DIGI azt sem tudta pontosan visszafejteni, milyen célból készült a tesztadatbázis és miért nem törölték azt az egykori funkciójának teljesítése után. Egyébként maga a sérülékenység is komoly volt, és állítólag az incidens előtt 9 évvel fedezték fel, tehát bőven lett volna idő a kijavítására. Szintén felrótták, hogy az adatbázisok semmilyen titkosítással nem rendelkeztek, pedig erre az ezeket kezelő szoftver lehetőséget nyújtott volna. A DIGI szerint ez utóbbit azért nem tették meg, mert ez gondot okozott volna az adatbázisokat használó rendszerek működésében.

Hirdetés
Ügyfélszolgálati változás!
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.