Digi Zrt, filiala din Ungaria a grupului de comunicații Digi, controlat de miliardarul orădean Zoltan Teszari, a fost amendată cu 290.000 de euro de către Autoritatea pentru protecția datelor din Ungaria (NAIH) pentru încălcarea regulamentului UE privind protecția datelor GDPR. Motivul? O vulnerabilitate a site-ului, neremediată de ani de zile, a permis unui hacker etic să aibă acces la datele personale ale unor abonați. Contactați de HotNews.ro, oficialii Digi au precizat că au remediat problema și că nu au existat scurgeri de date ale clienților în urma acestui incident, dar și că vor contesta această amendă record.
- "DIGI a constatat o vulnerabilitate a uneia dintre bazele sale de date de test, care ar fi putut conduce la o eventuală scurgere de date personale. DIGI a luat măsuri pentru a evita expunerea neintenționată a informațiilor personale și a raportat imediat situația autorității maghiare. Nu au existat scurgeri de date în urma acestui incident. Echipele noastre au acționat cu precauție pentru a securiza baza de date în cauză, au remediat rapid vulnerabilitatea și au modificat regulamentul nostru de securitate internă pentru a preveni viitoarele riscuri similare.
- Este important să subliniem faptul că Autoritatea nu a stabilit că date reale despre clienți ar fi fost accesate de părți neautorizate, o eventuală exploatare a vulnerabilității ar fi impus cunoștințe avansate de informatică/ programare din partea unui terț, iar compania a acționat proactiv pentru a remedia situația identificată, în cel mai scurt termen. Prin urmare, DIGI, care a colaborat pe deplin cu NAIH, va contesta amenda în instanță.", au precizat luni, 22 iunie, pentru HotNews.ro oficialii Digi Communications.
Până la acest moment, este cea mai mare amendă aplicată de NAIH în Ungaria, conform publicației ungare 24.hu, citate de Blog.avocatoo.ro
Digi Zrt. (Digi), parte a grupului DIGI, furnizează servicii de comunicații electronice și televiziune pentru peste 800.000 de gospodării în Ungaria.
Potrivit publicației ungare, în septembrie 2019, un hacker etic a raportat o vulnerabilitate a securității la Digi. Vulnerabilitatea privea site-ul lor web care rulează pe o platformă ope-source de gestionare a conținutului și, în special, două baze de date.
Prima vulnerabilitate se referea la o bază de date de testare a abonaților, care a fost creată pentru rezolvarea problemelor cu ani în urmă. Această bază de date conținea, de asemenea, date de identificare ale administratorilor de sistem, ceea ce duce la riscuri suplimentare de securitate. A doua bază de date conținea numele și adresele de e-mail ale abonaților la buletinul informativ Digi (newsletter). Această din urmă bază de date era o bază de date folosită în mod curent de către Digi, iar nu o bază de testare.
Digi a aflat despre toate acestea de la un hacker etic, iar încălcarea securității a fost imediat raportată autorităților, cu care Digi a cooperat. În afară de baza de date de test care conține datele abonatilor, nicio bază de date pentru newslettere care conține nume și adrese de e-mail nu a fost protejată în mod adecvat. Baza de date de test a inclus, de asemenea, numele abonaților, locul nașterii, adresa de e-mail și numărul de telefon.
Decizia NAIH nu dezvăluie numărul exact de persoane vizate de incident, deoarece aceste informații au fost marcate ca un secret comercial, dar menționează că vulnerabilitatea a permis accesul potențial neautorizat la un număr mare de persoane vizate. Decizia sugerează că această cifră a fost semnificativă chiar și în raport cu populația maghiară totală.
Digi a raportat că nu există semne de acces real neautorizat la date, în afară de accesul hackerului etic. Hackerul etic a descărcat o singură linie din baza de date pentru a demonstra existența vulnerabilității în raportul ei. Autoritatea nu a contestat acest fapt.
Conform NAIH, DIGI a comis mai multe erori deoarece eroarea CMS-ului Drupal unde era stocata baza de date este cunoscută de 9 ani și a fost disponibil un update de securitate (patch), dar acesta nu a fost instalat de către DIGI. Circumstanța agravantă în impunerea amenzii a fost aceea că datele sensibile erau disponibile printr-o scăpare de securitate de o lungă perioada de timp.
NAIH a efectuat o anchetă între octombrie 2019 și decembrie 2019. Autoritatea a implicat un expert IT extern.
Amenda administrativă de 100 milioane HUF (aproximativ 290.000 EUR) este egală cu aprox. 0,2% din cifra de afaceri anuală a Digi din exercițiul financiar precedent. Suma a fost calculata in functie de dimensiunea bazei de clienți implicate și de poziția pe piață a furnizorului de servicii, precum și de lipsa criptării. Digi are dreptul de a face apel la decizie.
4
2
