Rekordösszegű büntetést, 100 milliós bírságot kapott a DIGI, amiért nem védte jól ügyfelei adatait
A GDPR, vagyis az Európai Unió általános adatvédelmi rendeletének hatályba lépése óta a legnagyobb hazai büntetést szabta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a DIGI Távközlési Kft.-re, írta meg a HWSW.
A májusi keltezésű, de csak júniusban nyilvánosságra hozott határozat szerint a cég 100 millió forintos büntetést kapott. Nem megfelelő adatvédelmi intézkedések miatt ugyanis két olyan adatbázis is könnyen hozzáférhető vált, amikben szenzitív ügyféladatokat tároltak.
A hibáról egy etikus hekker értesítette a céget.
Az előfizetői adatokat tartalmazó tesztadatbázis mellett egy neveket és emailcímeket tartalmazó hírlevél-adatbázis sem volt megfelelő védelemmel ellátva. A tesztadatbázisban az előfizetők neve, születési helye, emailcíme és telefonszáma is szerepelt.
A NAIH szerint a DIGI többszörös mulasztást követett el, hiszen az adatbázist kezelő, nyílt forráskódú tartalomkezelő, a Drupal hiába 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette a tartalomkezelő szoftverhez.
A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok.
Az összeg az érintett ügyfélbázis mérete, a DIGI piaci pozíciója, valamint a titkosítás hiánya miatt is lett ekkora.
