szerző:
hvg.hu
Tetszett a cikk?

A biztonsági rés már kilenc éve ismert volt a cég számára, mégsem lépett.

A GDPR-korszak kezdete óta eddig egyetlen cégre vagy szervezetre sem szabott ki akkora bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), mint most a DIGI-re – írja a hwsw.hu.

A portál a NAIH honlapjára felkerült, május 18-i keltezésű, de csak most nyilvánosságra került határozat alapján arról számolt be, hogy

a cégnél a nem megfelelő adatvédelmi háttérintézkedések miatt két, ügyféladatok széles körét tartalmazó adatbázis is megszerezhetővé vált.

A DIGI tavaly szeptemberben egy etikus hackertől szerzett tudomást arról, hogy egy, a www.digi.hu címen elérhető honlapot kezelő szoftver sérülékenységét kihasználva, egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető.

A tesztadatbázisban megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

Az ellenőrzés során a hatóság feltárta, hogy az incidens létrejöttéhez a DIGI többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta – ez a tényállás már önmagában jogsértőnek tekinthető.

A támadáshoz használt biztonsági rés továbbá már 9 éve ismert volt, és rendelkezésre is állt hozzá a javítás, ám a DIGI ezt nem telepítette, mivel az nem képezte részét a szoftverhez kiadott hivatalos javítás-csomagoknak.

Az ügy végül a NAIH fennállásának eddigi legnagyobb kiszabott bírságával, százmillió forintos büntetéssel zárult.

Bár a DIGI az incidens tudomására jutásától számított 72 órán belül törölte az érintett tesztadatbázist és telepítette a biztonsági rést befoltozó szoftverfrissítést, illetve a törvényi keretek közt értesítette a hatóságot, mellyel mindenben együttműködött az eljárás során, a NAIH mindezt nem találta enyhítő körülménynek, mivel a hatóság szerint a társaság mindezzel a jogszabályi kötelezettségek betartásán nem ment túl.

VELETEK VAGYUNK – OLVASÓKKAL, ÚJSÁGÍRÓKKAL!

A hatalomtól független szerkesztőségek száma folyamatosan csökken, a még létezők pedig napról napra erősödő ellenszélben próbálnak talpon maradni. A HVG-ben kitartunk, nem engedünk a nyomásnak, és minden nap elhozzuk a hazai és nemzetközi híreket.

Ezért kérünk titeket, olvasóinkat, hogy tartsatok ki mellettünk, támogassatok bennünket, csatlakozzatok pártolói tagságunkhoz, illetve újítsátok meg azt!

Mi pedig azt ígérjük, hogy továbbra is minden körülmények között a tőlünk telhető legtöbbet nyújtjuk a számotokra!
Pártoló tag leszek Támogatom a HVG-t Előfizetek a HVG-re
HVG cover
Kihagynák a Digit az 5G-ből, a cég tiltakozik
hvg.hu Vállalkozás

Kihagynák a Digit az 5G-ből, a cég tiltakozik

Megalapozatlannak és tisztességtelennek tartja a Digi Communications N.V, hogy kizárta az ötödik generációs frekvenciaátverésről magyar leányvállalatát, a Digi Távközlési és Szolgáltató Kft.-t a médiahatóság.

Orbán: Jövőre meg kell emelni a közmunkások bérét

Orbán: Jövőre meg kell emelni a közmunkások bérét

A dolgozók mentették meg egy férfi életét egy óbudai hipermarket előtt

A dolgozók mentették meg egy férfi életét egy óbudai hipermarket előtt

Gyulai István atlétikai emlékversenyt rendeznek négy éven át, 3,2 milliárdért

Gyulai István atlétikai emlékversenyt rendeznek négy éven át, 3,2 milliárdért

bírság adatok büntetés Nemzeti Adatvédelmi és Információszabadság Hatóság digi