100 000 000 forintos adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH” vagy „Hatóság”) 2020 május 18-án a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társasággal („Digi” vagy „Társaság”) szemben.
A határozatot a hatóság a mai napon hozta nyilvánosságra, amely a GDPR hatálybalépése és a Hatóság fennállása óta messze a legmagasabb kiszabott összeg. A bírsághoz vezető tényállást, illetve azt követően a Hatóság döntését az alábbiak szerint foglaltuk össze:
Előzmény
1. A Digi egy korábbi adatvesztés miatt hibaelhárítási célra hozott létre egy tesztadatbázist, amelyet azonban valós személyes adatokkal töltött meg a Társaság. A tesztadatbázis eredetileg megfelelő hozzáférési jogosultsággal volt megtekinthető a Társaság weboldalán.
2. A Társaság által használt tartalomkezelő rendszerben (content management system, ’CMS’) több mint 9 éve észlelték a megfelelő eszközökkel, applikációkkal automatikusan is detektálható, illetve javítható sérülékenységet, amely révén hozzáférési jogosultság nélkül is bárki megtekinthette a tesztadatbázist.
3. Ezt a sérülékenységet kihasználva egy etikus hacker betekintést nyert a tesztadatbázisba, ahol bármiféle titkosítás nélkül, szabadon olvasható módon (’plain text’) tárolták az előfizetők jelentős részének személyes adatait, ez alatt értve az összes személyazonosító adatot, személyi igazolvány számot, esetenként személyi szám, e-mail cím, telefonszám és bankszámlaszám is szerepelt az előfizetőknél.
4. A fentieken túlmenően a hírlevélre feliratkozók és a teljes jogú rendszergazdák adataihoz is hozzá lehetett férni a sérülékenység révén, ezzel akár azt is lehetővé téve, hogy egy támadó a weboldal feletti teljes irányítást átvegye és az azon keresztül elérhető bármilyen személyes adathoz vagy üzleti titokhoz hozzáférjen.
A NAIH megállapításai
· Az érintett személyes adatok kategóriái alkalmasak arra, hogy azokkal egy támadó visszaéljen, az érintettek személyazonosságát ellopja.
· Súlyosító körülmény továbbá, hogy az adatvédelmi incidens érintetteinek száma Magyarország teljes lakosságára vetítve is számottevő, a Társaság piaci pozíciója önmagában indokolta volna komolyabb adatbiztonsági intézkedések alkalmazását.
· A nyílt forráskódú tartalomkezelő hibája régóta ismert, a sérülékenység kiküszöbölésére ingyenesen is elérhető javítás.
· A titkosítás mellőzése növelte az incidens kockázatát, pedig a titkosításra szintén csekély ráfordítás mellett lehetősége lett volna a Társaságnak.
· A teljes jogú rendszergazda felhasználók belépési adatainak kiszivárgása súlyosan növeli a biztonsági kockázatot.
· A tesztadatbázis fenntartása sértette a GDPR alapelveit, ugyanis a tesztadatbázist a cél teljesülését követően véglegesen törölni kellett volna.
· A Társaság a saját belső szabályzatának rendelkezéseit is megsértette.
Mindezek alapján a Hatóság mérlegelése szerint a figyelmeztetésnek nem lett volna kellő visszatartó ereje, ezért a bírság kiszabása volt indokolt, amelynek kiugróan magas összegét a számos súlyosító körülmény magyarázza.