[:en]The GDPR, which entered into force General Data Protection Regulation in the European Union has imposed the largest domestic punishment by the National Data Protection and Freedom of Information Authority (NAIH) DIGI Telecommunications Ltd., according to a May dated, but made public only in June decision ( pdf ), according to

DIGI WAS FINED HUF 100 MILLION.

According to the reasons for the decision, due to inadequate data protection background measures at DIGI, two databases containing sensitive customer data became easily accessible. The company learned of all this from an ethical hacker, and the security breach was immediately reported to the authorities, with whom they cooperated throughout.

In addition to the test database containing subscriber data, no newsletter database containing names and email addresses was adequately protected. The test database also included the subscribers’ names, place of birth, email address, and telephone number.

According to NAIH, DIGI has committed multiple failures, as the bug in the open source content manager Drupal, which manages the database, has been known for 9 years, and a fix has been made, but this has not been installed by DIGI in the content management software.

The aggravating circumstance in imposing the fine was that sensitive data was available through a long-standing security flaw. The amount was affected by the size of the customer base involved and the market position of the service provider, as well as the lack of encryption.[:hu]A GDPR, vagyis az Európai Unió általános adatvédelmi rendeletének hatályba lépése óta a legnagyobb hazai büntetést szabta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a  DIGI Távközlési Kft.-re, derült ki egy májusi keltezésű, de csak júniusban nyilvánosságra hozott határozatból (pdf), amely szerint

A DIGI 100 MILLIÓ FORINTOS BÜNTETÉST KAPOTT.

A határozat indoklása szerint a DIGI-nél a nem megfelelő adatvédelmi háttérintézkedések miatt két olyan adatbázis is könnyen hozzáférhető vált, amikben szenzitív ügyféladatokat tároltak. A cég minderről egy etikus hekkertől értesült, és a védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Az előfizetői adatokat tartalmazó tesztadatbázis mellett egy neveket és emailcímeket tartalmazó hírlevél-adatbázis sem volt megfelelő védelemmel ellátva. A tesztadatbázisban az előfizetők neve, születési helye, emailcíme és telefonszáma is szerepelt.

A NAIH szerint a DIGI többszörös mulasztást követett el, hiszen az adatbázist kezelő, nyílt forráskódú tartalomkezelő, a Drupal hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette a tartalomkezelő szoftverhez.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya.

 [:]

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.