Kikerültek az ügyfelek adatai, százmillió forintos bírságot kapott a DIGI

A biztonsági rés már kilenc éve ismert volt a cég számára, mégsem lépett.

hvg.hu

Kikerültek az ügyfelek adatai, százmillió forintos bírságot kapott a DIGI

A GDPR-korszak kezdete óta eddig egyetlen cégre vagy szervezetre sem szabott ki akkora bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), mint most a DIGI-re – írja a hwsw.hu.

A portál a NAIH honlapjára felkerült, május 18-i keltezésű, de csak most nyilvánosságra került határozat alapján arról számolt be, hogy

a cégnél a nem megfelelő adatvédelmi háttérintézkedések miatt két, ügyféladatok széles körét tartalmazó adatbázis is megszerezhetővé vált.

A DIGI tavaly szeptemberben egy etikus hackertől szerzett tudomást arról, hogy egy, a www.digi.hu címen elérhető honlapot kezelő szoftver sérülékenységét kihasználva, egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető.

A tesztadatbázisban megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

Az ellenőrzés során a hatóság feltárta, hogy az incidens létrejöttéhez a DIGI többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta – ez a tényállás már önmagában jogsértőnek tekinthető.

A támadáshoz használt biztonsági rés továbbá már 9 éve ismert volt, és rendelkezésre is állt hozzá a javítás, ám a DIGI ezt nem telepítette, mivel az nem képezte részét a szoftverhez kiadott hivatalos javítás-csomagoknak.

Az ügy végül a NAIH fennállásának eddigi legnagyobb kiszabott bírságával, százmillió forintos büntetéssel zárult.

Bár a DIGI az incidens tudomására jutásától számított 72 órán belül törölte az érintett tesztadatbázist és telepítette a biztonsági rést befoltozó szoftverfrissítést, illetve a törvényi keretek közt értesítette a hatóságot, mellyel mindenben együttműködött az eljárás során, a NAIH mindezt nem találta enyhítő körülménynek, mivel a hatóság szerint a társaság mindezzel a jogszabályi kötelezettségek betartásán nem ment túl.

Útmutató cégvezetőknek

További cikkek

Feszültség és konfliktus a szervezetben – Hogyan kezelhető?

Az egészséges csapatműködés és az eredményesség szempontjából kulcskérdés, hogyan kezeli a cégvezető a konfliktusokat.

Majdnem szabályozott pénzügyek helyett biztos pillérek

A vállalkozások belső problémáiból eredő pénzügyi válságok jelentős része elkerülhető lenne. Mutatjuk hogyan.

Kedvezményes kamatozású hitelek és lízingkonstrukciók

Összefoglaló a kedvezményes konstrukciók feltételeiről: mire, milyen feltételekkel lehet igényelni ilyen forrást?

Tudatos akvizíció, biztos finanszírozás

A sikeres cégfelvásárlás alapja az előre megtervezett finanszírozási háttér. Milyen szempontokat szükséges feltétlenül szem előtt tartani ennek során.

A Nicsak, ki beszél! rendezője a HVG-nek: Amikor Bruce Willis igent mondott, a legszerencsésebb pillanata volt az életemnek

Miért köszönheti a házát Amy Heckerling John Travoltának és Bruce Willisnek? Mit tapasztalt női rendezőként Hollywoodban? Hogyan fedezte fel Sean Pennt és Alicia Silverstone-t? És miért volt fontos, hogy Phoebe Cates ledobja a bikinifelsőjét? A Nicsak, ki beszél! és a Spinédzserek író-rendezőjével beszélgettünk.