GDPR: Digi, amendă record de 290.000 de euro în Ungaria pentru o vulnerabilitate a site-ului prin care s-ar fi putut accesa date personale ale abonaților / Digi: Vom contesta amenda – Telecom

Până la acest moment, este cea mai mare amendă aplicată de NAIH în Ungaria, conform publicației ungare 24.hu, citate de Blog.avocatoo.ro

Digi Zrt. (Digi), parte a grupului DIGI, furnizează servicii de comunicații electronice și televiziune pentru peste 800.000 de gospodării în Ungaria.

Potrivit publicației ungare, în septembrie 2019, un hacker etic a raportat o vulnerabilitate a securității la Digi. Vulnerabilitatea privea site-ul lor web care rulează pe o platformă ope-source de gestionare a conținutului și, în special, două baze de date.

Prima vulnerabilitate se referea la o bază de date de testare a abonaților, care a fost creată pentru rezolvarea problemelor cu ani în urmă. Această bază de date conținea, de asemenea, date de identificare ale administratorilor de sistem, ceea ce duce la riscuri suplimentare de securitate. A doua bază de date conținea numele și adresele de e-mail ale abonaților la buletinul informativ Digi (newsletter). Această din urmă bază de date era o bază de date folosită în mod curent de către Digi, iar nu o bază de testare.

Digi a aflat despre toate acestea de la un hacker etic, iar încălcarea securității a fost imediat raportată autorităților, cu care Digi a cooperat.
În afară de baza de date de test care conține datele abonatilor, nicio bază de date pentru newslettere care conține nume și adrese de e-mail nu a fost protejată în mod adecvat. Baza de date de test a inclus, de asemenea, numele abonaților, locul nașterii, adresa de e-mail și numărul de telefon.

Decizia NAIH nu dezvăluie numărul exact de persoane vizate de incident, deoarece aceste informații au fost marcate ca un secret comercial, dar menționează că vulnerabilitatea a permis accesul potențial neautorizat la un număr mare de persoane vizate. Decizia sugerează că această cifră a fost semnificativă chiar și în raport cu populația maghiară totală.

Digi a raportat că nu există semne de acces real neautorizat la date, în afară de accesul hackerului etic. Hackerul etic a descărcat o singură linie din baza de date pentru a demonstra existența vulnerabilității în raportul ei. Autoritatea nu a contestat acest fapt.

Conform NAIH
, DIGI a comis mai multe erori deoarece eroarea CMS-ului Drupal unde era stocata baza de date este cunoscută de 9 ani și a fost disponibil un update de securitate (patch), dar acesta nu a fost instalat de către DIGI. Circumstanța agravantă în impunerea amenzii a fost aceea că datele sensibile erau disponibile printr-o scăpare de securitate de o lungă perioada de timp.

NAIH a efectuat o anchetă între octombrie 2019 și decembrie 2019. Autoritatea a implicat un expert IT extern.

Amenda administrativă de 100 milioane HUF (aproximativ 290.000 EUR) este egală cu aprox. 0,2% din cifra de afaceri anuală a Digi din exercițiul financiar precedent. Suma a fost calculata in functie de dimensiunea bazei de clienți implicate și de poziția pe piață a furnizorului de servicii, precum și de lipsa criptării. Digi are dreptul de a face apel la decizie.

Leave a Reply

Your email address will not be published. Required fields are marked *