"Acesta a apărut ca urmare a unei erori de sincronizare între două aplicații interconectate ale operatorului care a generat astfel o identificare greșită între un cont de client cu cel al unui angajat al companiei", conform Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP.
Înainte de a fi prezentată aici, informația a fost anunțată cu mult înainte pe Profit Insider
Incidentul a fost raportat de companie, iar investigația derulată de ANSPDCP a fost finalizată în luna iunie.
"În consecință, Orange România a fost sancționată contravențional cu două amenzi în cuantum de 523.900 lei (echivalentul a 100.000 EURO), astfel:
1. cu amendă în cuantum de 104.780 lei (echivalentul sumei de 20.000 euro) pentru încălcarea dispozițiilor art. 25 alin. (1) din Regulamentul (UE) 2016/679, cu privire la lipsa implementării unor măsuri tehnice și organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât și în timpul prelucrării propriu-zise;
2. cu amendă în cuantum de 419.120 lei (echivalentul sumei de 80.000 euro) pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și d), alin. (2) și (4) din Regulamentul (UE) 2016/679, referitoare la lipsa implementării unor măsuri tehnice și organizatorice adecvate pentru a asigura confidențialitatea și securitatea corespunzătoare a prelucrării", anunță instituția.
Autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în momentul configurării și utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi.
Această situație a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria și numărul cărții de identitate, seria și numărul facturii, data emiterii acesteia, fiind astfel încălcate dispozițiile art. 25 alin. (1) din Regulamentul (UE) 2016/679.
"În același timp, în cursul investigației, s-a constatat și faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător pentru a proteja platformele administrate și nu a testat periodic eficacitatea sistemelor de securitate.
Această vulnerabilitate a permis un atac informatic asupra securității accesului în aplicația de ticketing a operatorului, care a condus astfel la accesul neautorizat și la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranță, cum ar fi conexiune securizată (VPN), autentificarea în doi pași (MFA) sau restricționarea accesului pe bază de IP.
Ca urmare, a fost sustras neautorizat un volum foarte mare de date personale ale persoanelor vizate, cum ar fi: numele și prenumele; adresele, numerele de telefon, adresele de e-mail, codul numeric personal, seria și numărul cărții de identitate, inclusiv copii ale cărții de identitate; informații legate de cardurile bancare, data expirării, furnizorul cardului; date de autentificare care reprezintă potențiale chei de acces pentru comunicare între aplicații (trecute sau prezente), codul de client, codul IBAN, numerele de SIM; tipologie funcție angajați", mai este arătat.
Autoritatea a dispus față de operator și măsura corectivă de implementare tehnică și organizatorică a unui proces de monitorizare și testare a tuturor aplicațiilor informatice utilizate în activitatea operatorului, prin care să existe controlul tuturor modificărilor la nivelul soft-urilor utilizate în cadrul acestora (update-uri, modificări de configurații, procese de interconectare etc.) și care să includă teste ulterioare în vederea identificării vulnerabilităților ce pot conduce la accesul neautorizat la datele cu caracter personal.
















