GDPR: Digi, amendă record de 290.000 de euro în Ungaria pentru o vulnerabilitate a site-ului prin care s-ar fi putut accesa date personale ale abonaților / Digi: Vom contesta amenda

de Adrian Vasilache     HotNews.ro
Luni, 22 iunie 2020, 13:18 Economie | Telecom


Digi Ungaria
Foto: Digi Communications
​Digi Zrt, filiala din Ungaria a grupului de comunicații Digi, controlat de miliardarul orădean Zoltan Teszari, a fost amendată cu 290.000 de euro de către Autoritatea pentru protecția datelor din Ungaria (NAIH) pentru încălcarea regulamentului UE privind protecția datelor GDPR. Motivul? O vulnerabilitate a site-ului, neremediată de ani de zile, a permis unui hacker etic să aibă acces la datele personale ale unor abonați. Contactați de HotNews.ro, oficialii Digi au precizat că au remediat problema și că nu au existat scurgeri de date ale clienților în urma acestui incident, dar și că vor contesta această amendă record.

  • "DIGI a constatat o vulnerabilitate a uneia dintre bazele sale de date de test, care ar fi putut conduce la o eventuală scurgere de date personale. DIGI a luat măsuri pentru a evita expunerea neintenționată a informațiilor personale și a raportat imediat situația autorității maghiare. Nu au existat scurgeri de date în urma acestui incident. Echipele noastre au acționat cu precauție pentru a securiza baza de date în cauză, au remediat rapid vulnerabilitatea și au modificat regulamentul nostru de securitate internă pentru a preveni viitoarele riscuri similare.
  • Este important să subliniem faptul că Autoritatea nu a stabilit că date reale despre clienți ar fi fost accesate de părți neautorizate, o eventuală exploatare a vulnerabilității ar fi impus cunoștințe avansate de informatică/ programare din partea unui terț, iar compania a acționat proactiv pentru a remedia situația identificată, în cel mai scurt termen. Prin urmare, DIGI, care a colaborat pe deplin cu NAIH, va contesta amenda în instanță.", au precizat luni, 22 iunie, pentru HotNews.ro oficialii Digi Communications.

Până la acest moment, este cea mai mare amendă aplicată de NAIH în Ungaria, conform publicației ungare 24.hu, citate de Blog.avocatoo.ro

Digi Zrt. (Digi), parte a grupului DIGI, furnizează servicii de comunicații electronice și televiziune pentru peste 800.000 de gospodării în Ungaria.

Potrivit publicației ungare, în septembrie 2019, un hacker etic a raportat o vulnerabilitate a securității la Digi. Vulnerabilitatea privea site-ul lor web care rulează pe o platformă ope-source de gestionare a conținutului și, în special, două baze de date.

Prima vulnerabilitate se referea la o bază de date de testare a abonaților, care a fost creată pentru rezolvarea problemelor cu ani în urmă. Această bază de date conținea, de asemenea, date de identificare ale administratorilor de sistem, ceea ce duce la riscuri suplimentare de securitate. A doua bază de date conținea numele și adresele de e-mail ale abonaților la buletinul informativ Digi (newsletter). Această din urmă bază de date era o bază de date folosită în mod curent de către Digi, iar nu o bază de testare.

Digi a aflat despre toate acestea de la un hacker etic, iar încălcarea securității a fost imediat raportată autorităților, cu care Digi a cooperat.
În afară de baza de date de test care conține datele abonatilor, nicio bază de date pentru newslettere care conține nume și adrese de e-mail nu a fost protejată în mod adecvat. Baza de date de test a inclus, de asemenea, numele abonaților, locul nașterii, adresa de e-mail și numărul de telefon.

Decizia NAIH nu dezvăluie numărul exact de persoane vizate de incident, deoarece aceste informații au fost marcate ca un secret comercial, dar menționează că vulnerabilitatea a permis accesul potențial neautorizat la un număr mare de persoane vizate. Decizia sugerează că această cifră a fost semnificativă chiar și în raport cu populația maghiară totală.

Digi a raportat că nu există semne de acces real neautorizat la date, în afară de accesul hackerului etic. Hackerul etic a descărcat o singură linie din baza de date pentru a demonstra existența vulnerabilității în raportul ei. Autoritatea nu a contestat acest fapt.

Conform NAIH
, DIGI a comis mai multe erori deoarece eroarea CMS-ului Drupal unde era stocata baza de date este cunoscută de 9 ani și a fost disponibil un update de securitate (patch), dar acesta nu a fost instalat de către DIGI. Circumstanța agravantă în impunerea amenzii a fost aceea că datele sensibile erau disponibile printr-o scăpare de securitate de o lungă perioada de timp.

NAIH a efectuat o anchetă între octombrie 2019 și decembrie 2019. Autoritatea a implicat un expert IT extern.

Amenda administrativă de 100 milioane HUF (aproximativ 290.000 EUR) este egală cu aprox. 0,2% din cifra de afaceri anuală a Digi din exercițiul financiar precedent. Suma a fost calculata in functie de dimensiunea bazei de clienți implicate și de poziția pe piață a furnizorului de servicii, precum și de lipsa criptării. Digi are dreptul de a face apel la decizie.








Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.

















2020 vizualizari

  • -2 (6 voturi)    
    ungurii nu i iarta pe tradatori (Luni, 22 iunie 2020, 13:34)

    axiopolis [utilizator]

    .
    • +2 (4 voturi)    
      "Tradatori" ? (Luni, 22 iunie 2020, 15:04)

      Susufler0 [utilizator] i-a raspuns lui axiopolis

      Te pomenesti ca si Zoltan e fiul lui Soros ?! :))))))))
  • 0 (2 voturi)    
    correct (Luni, 22 iunie 2020, 14:57)

    gerado [utilizator]

    Probabil Digi a incercat sa bage gunoiul sub pres, iar intamplarea din Ungaria ma duce cu gandul si la ce s-a intamplat cu conturile utilizatorilor din Romania. Acum cateva saptamani parintii mei nu au mai putut sa se logheze la contul de Digi, accesul fiind blocat deodata. Singura modalitate de a redobandi accesul la cont a fost resetarea parolei, dupa care am repus parola pe care au avut-o dintotdeauna. Mi s-a parut foarte ciudat ce s-a intamplat mai ales ca parintii nu au primit nici un email sau notificare in legatura cu vreo vulnerabilitate a contului lor, insa acum lucurile incep sa prinda contur. Digi a incercat probabil sa ascunda vulnerabilitatea lor de securitate fara a informa utilizatorii, ceea ce este grotesc. Drept urmare gasesc ca amenda primita din partea Ungariei prea mica la cat de mare este nesimtirea lor.
  • 0 (4 voturi)    
    persecutie (Luni, 22 iunie 2020, 15:02)

    anick [utilizator]

    O valoare evident exagerata a amezii avand in vedere natura datelor expuse (adrese de email). Daca macar justitia mai este ok în Ungaria ar trebui redusa semnificativ.

    Se coroboreaza cu excluderea din procesul de licitatie spectru.


Abonare la comentarii cu RSS

ESRI

Întâlniri on-line | #deladistanță

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.

Aici puteti modifica setarile de Cookie

hosted by
powered by
developed by