A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy tavaly ősszel bejelentett adatvédelmi incidenssel összefüggésben megállapította, hogy a DIGI Távközlési és Szolgáltató Kft. megsértette az általános adatvédelmi rendelet célhoz kötöttség és korlátozott tárolhatóság pontjait, amikor
egy eredetileg hibaelhárítási célból létrehozott tesztadatbázis tartalmát a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte,
így az abban tárolt nagy számú ügyféladatot a következő időszakban cél nélkül és azonosításra alkalmas módon tárolta a használt rendszerekben.
A NAIH szerint ezen intézkedés hiánya közvetlenül lehetővé tette adatvédelmi incidens bekövetkezését és a személyes adatok hozzáférhetőségét.
Kilenc éve ismert sérülékenységgel lehetett megszerezni a titkosítatlanul tárolt adatokat
A DIGI nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, azzal, hogy az általa használt tartalomkezelő egy több mint kilenc éve ismert, megfelelő eszközökkel egyébként észlelhető és javítható sérülékenységét kihasználva hozzá lehetett férni a nyilvánosan elérhető digi.hu weboldalon keresztül az incidenssel érintett adatbázisokhoz.
A DIGI nem alkalmazott titkosítást a személyes adatokhoz, ami jelentősen növelte az incidensből fakadó kockázatokat. Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül – állapította meg az adatvédelmi hatóság.
Felül kell vizsgálnia az összes adatbázist
A hatóság arra kötelezte a DIGI-t, hogy vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban nem lenne indokolt titkosítás alkalmazása, majd ennek eredményeiről tájékoztassa a hatóságot. A jogsértések miatt a határozat jogerőssé válásától számított 30 napon belül kell befizetnie a DIGI-nek 100 millió forint összegű adatvédelmi bírságot.
2019. szeptember 23-án derült ki, hogy egy támadó (aki szerencsére csak egy etikus hacker volt) a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért személyes adatokhoz. Az adatok között különböző személyes adatok (név, anyja neve, születési hely, idő, lakcím, személyi igazolványszám, email cím, telefonszám stb.) is megtalálható volt.
A DIGI az etikus hacker közreműködésével szerzett tudomást a sérülékenységről. Az etikus hacker a sérülékenység bemutatása érdekében lekért az adatbázisból. A DIGI ügyfelei megrendelői és hírlevél-feliratkozói voltak érintetve.
