Hirdetés
. Hirdetés

Durva összegű bírságot fizethet a DIGI

|

Százmillió forintos összeget kell fizetnie a távközlési vállalatnak azért, mert hanyag adatkezelésük miatt két ügyfél-adatbázisuk is hozzáférhetővé vált.

Hirdetés

Május 18-án kelt, de csak most, közel egy hónappal később került nyilvánosságra az a határozat, amelynek értelmében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmarasztalja a DIGI Távközlési Kft.-t, és ezzel együtt rekord összegű bírság, százmillió forint megfizetésére kötelezi a céget. Ilyen hatalmas büntetésre nem volt példa a GDPR-szabályozások bevezetése óta.

Hirdetés

A NAIH weboldalán megtekinthető határozat, és főleg a büntetés összege kifejezetten kemény, pedig a DIGI annak idején magától, azonnal jelezte a NAIH felé a két esetet, miután tudomásukra jutott a két eset, és végig együttműködtek a hatósággal. A cég figyelmét 2019. szeptemberében etikus hackerek hívták fel arra, hogy a digi.hu weboldal mögött álló, nyílt forráskódú kiszolgáló szoftver sebezhetőségének köszönhetően tárva-nyitva áll a kapu ahhoz, hogy bárki megszerezzen két ügyféladatbázist. Ezek egyike a hírlevélre feliratkozottak nevét és e-mail címét tartalmazta, a másik pedig részletes előfizetői adatokkal telepakolt, tesztelésre használt lista volt.

Utóbbiban egy csomó olyan információt is meg lehetett találni a név és e-mail cím mellett, amelyeket az ügyfelek általában szerződéskötéskor adnak meg, így látható volt az illető anyja neve, lakcíme, születési helye és ideje, telefonszámai, valamint személyi igazolványának száma.

NAIH-2020-1160-10-határozat

A DIGI értesítése nyomán a NAIH tavaly októberben kezdte a vizsgálódást azzal kapcsolatban, mindent megtett-e a cég az adatok védelméért, és a határozat szerint egyértelműen bizonyítható, hogy többszörös mulasztásuk okozta az adatvédelmi hibát. Nem csak a konkrét biztonsági rés megléte számít aggályosnak a hatóság szerint, de a DIGI azt sem tudta pontosan visszafejteni, milyen célból készült a tesztadatbázis és miért nem törölték azt az egykori funkciójának teljesítése után. Egyébként maga a sérülékenység is komoly volt, és állítólag az incidens előtt 9 évvel fedezték fel, tehát bőven lett volna idő a kijavítására. Szintén felrótták, hogy az adatbázisok semmilyen titkosítással nem rendelkeztek, pedig erre az ezeket kezelő szoftver lehetőséget nyújtott volna. A DIGI szerint ez utóbbit azért nem tették meg, mert ez gondot okozott volna az adatbázisokat használó rendszerek működésében.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.