A DIGI budapesti, Váci úti bejárata

100 milliós bírságot kapott a DIGI, mert rossz gazdája volt az ügyfelei adatainak

A Nemzeti Adatvédelmi és Információszabadság Hatóság megállapítása szerint nyilvánosan lekérhetővé vált a távközlési szolgáltató egyes ügyfeleinek és hírlevél-regisztráltjainak személyes adata a DIGI weboldalán keresztül, amit a DIGI gondatlansága és jogsértései okoztak.
Megosztás itt: facebook
Megosztás itt: twitter
Megosztás itt: tumblr
Megosztás itt: linkedin
Megosztás itt: whatsapp
Megosztás itt: skype
Megosztás itt: email

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy tavaly ősszel bejelentett adatvédelmi incidenssel összefüggésben megállapította, hogy a DIGI Távközlési és Szolgáltató Kft. megsértette az általános adatvédelmi rendelet célhoz kötöttség és korlátozott tárolhatóság pontjait, amikor

egy eredetileg hibaelhárítási célból létrehozott tesztadatbázis tartalmát a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte,

így az abban tárolt nagy számú ügyféladatot a következő időszakban cél nélkül és azonosításra alkalmas módon tárolta a használt rendszerekben.

A NAIH szerint ezen intézkedés hiánya közvetlenül lehetővé tette adatvédelmi incidens bekövetkezését és a személyes adatok hozzáférhetőségét.

Kilenc éve ismert sérülékenységgel lehetett megszerezni a titkosítatlanul tárolt adatokat

A DIGI nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, azzal, hogy az általa használt tartalomkezelő egy több mint kilenc éve ismert, megfelelő eszközökkel egyébként észlelhető és javítható sérülékenységét kihasználva hozzá lehetett férni a nyilvánosan elérhető digi.hu weboldalon keresztül az incidenssel érintett adatbázisokhoz.

A DIGI nem alkalmazott titkosítást a személyes adatokhoz, ami jelentősen növelte az incidensből fakadó kockázatokat. Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül – állapította meg az adatvédelmi hatóság.

A DIGI egyik üzlete
A DIGI egyik üzlete. Fotó: Ladányi András, Media1

Felül kell vizsgálnia az összes adatbázist

A hatóság arra kötelezte a DIGI-t, hogy vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban nem lenne indokolt titkosítás alkalmazása, majd ennek eredményeiről tájékoztassa a hatóságot. A jogsértések miatt a határozat jogerőssé válásától számított 30 napon belül kell befizetnie a DIGI-nek  100 millió forint összegű adatvédelmi bírságot.

2019. szeptember 23-án derült ki, hogy egy támadó (aki szerencsére csak egy etikus hacker volt) a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért személyes adatokhoz. Az adatok között különböző személyes adatok (név, anyja neve, születési hely, idő, lakcím, személyi igazolványszám, email cím, telefonszám stb.) is megtalálható volt.

A DIGI az etikus hacker közreműködésével szerzett tudomást a sérülékenységről. Az etikus hacker a sérülékenység bemutatása érdekében lekért az adatbázisból. A DIGI ügyfelei megrendelői és hírlevél-feliratkozói voltak érintetve.

A hírközlési szolgáltatóra kirótt százmilliós bírság rekordnak számít. Eddig a Sziget-fesztivál szervezői számítottak a rekordernek, akik 30 milliós büntetést kaptak tavaly.

A Sziget Zrt. perre ment a NAIH-val. Az egyelőre nem tudni, hogy az új rekorder, a DIGI fellebbez-e a döntés ellen. Keressük a céget, ha reagálnak, arról beszámolunk.

Frissítés 06.16

Bírósághoz fordul a DIGI

Megérkezett a DIGI reakciója a Media1 megkeresésére a hatóság által kirótt bírság kapcsán. A DIGI válasza – amiből kiderül, miért tartják eltúlzottnak a NAIH bírság mértékét és miért nyújtanak be fellebbezést bíróságon az adatvédelmi hatóság döntése ellen – IDE kattintva érhető el külön hírünkben.

További hírek olvashatók a Media1-en.

Szóljon hozzá!