Rekordbírságot kapott a DIGI

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) rekord összegű, százmillió forintos bírság megfizetésére kötelezte a DIGI Távközlési Kft.-t, derül ki egy most nyilvánosságra került határozatból, szúrta ki a HWSW. A GDRP érvénybe lépése óta eddig egyetlen cégre sem szabott ki ekkora bírságot a magyar hatóság.

A május 18-i keltezésű határozat szerint a DIGI nem megfelelő adatvédelmi háttérintézkedései miatt két, ügyféladatokat tartalmazó adatbázis is könnyen hozzáférhetővé vált. A cég erről egy etikus hackertől szerzett tudomást. A sérülékenységet azonnal jelentették, illetve végig egyűttműködtek a hatóságokkal.

Az előfizetői adatokat tartalmazó adatbázis a digi.hu weboldalon elérhető nyílt forráskódú tartalomkezelő, a Drupal hibája miatt volt hozzáférhető, továbbá egy nevet és e-mail címeket tartalmazó hírlevél-adatbázis sem volt kellően védett. A tesztadatbázis olyan személyes adatokat tartalmazott, mint név, születési hely, e-mail cím, telefonszám.

A hatóság szerint a DIGI többszörösen mulasztott, a tesztadatbázist már a hibaelhárítási folyamat óta törölniük kellett volna. A biztonsági rés pedig már 9 éve ismert volt, és elérhető hozzá javítás is, amit a DIGI nem telepített a tartalomkezelő szoftverhez.

A bírság kiszabásakor így súlyosbító körülményként értékelt a hatóság, hogy a régóta fennálló biztonsági hibán keresztül voltak támadható az érzékeny adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya.