Telekomy

UODO nałożył na Virgin Mobile prawie 2 mln zł kary za wyciek danych klientów ofert na kartę

Grzegorz Ułan
UODO nałożył na Virgin Mobile prawie 2 mln zł kary za wyciek danych klientów ofert na kartę

Prezes Urzędu Ochrony Danych Osobowych poinformował dziś o nałożeniu kary finansowej na Virgin Mobile, który w ubiegłym roku nie dołożył wymaganych starań w temacie ochrony i bezpieczeństwa danych swoich klientów.

O wycieku danych klientów Virgin Mobile informowaliśmy Was dokładnie 26 grudnia roku ubiegłego. Kiedy to okazało się, iż pomiędzy 18 a 22 grudnia osoba nieuprawniona uzyskała do bazy danych operatora i pobrała znaczną liczbę danych klientów. Teraz finał tej sprawy ogłosił Prezes Urzędu Ochrony Danych Osobowych.

Incydent wycieku danych dotyczył klientów ofert na kartę i był ściśle powiązany z systemami do rejestracji kart tych klientów.

W toku postępowania okazało się, że wymiana danych między aplikacjami w systemie informatycznym miała następować po zweryfikowaniu pewnych parametrów z wniosków rejestracyjnych klientów usług prepaid. Chodziło o to, by program sprawdził, czy żądanie, w wyniku którego miały być przekazane dane, wpłynęło od uprawnionego podmiotu. W praktyce ta weryfikacja nie działała, a przed jej wdrożeniem mechanizm ten nie został przetestowany. Tymczasem podatność w tym procesie (polegająca na braku weryfikacji odpowiednich parametrów) wykorzystała osoba nieuprawniona, by pozyskać dane. Dopiero po tym incydencie podjęto odpowiednie działania związane z naprawą wspomnianej funkcjonalności w systemie informatycznym spółki.

Administrator odpowiedzialny za systemy informatyczne Virgin Mobile bronił się faktem, iż przeprowadzał testy bezpieczeństwa gromadzonych danych osobowych, jednak zdaniem UODO testy te nie były regularne i nie obejmowały wszystkich systemów, wykorzystujących dane osobowe.

W toku postępowania administracyjnego UODO uznał, że Virgin Mobile naruszył tym samym zasady poufności danych określone w RODO i nałożył karę w wysokości 1,9 mln zł (1.968.524,00 zł). Dla przypomnienia, niedawno Play sfinalizował przejęcie Virgin Mobile za kwotę 59 mln zł, jednak prawdopodobnie groźba tej kary została uwzględniona w ostatecznej wycenie tej spółki.

Z opublikowanej przez UODO decyzji wynika, że wyciek danych zawierających dane osobowe, numery PESEL i dowodów tożsamości dotknął dokładnie 114 963 klientów oferty przedpłaconej Virgin Mobile. To znacznie przekracza deklarację Virgin Mobile bezpośrednio po wykryciu incydentu, kiedy to informowali, że dotknął on 12,5% klientów, którzy rejestrowali swoje karty u tego operatora. Według najnowszych danych Virgin Mobile obsługuje aktualnie we wszystkich ofertach 358 tysięcy klientów.

Źródło: UODO.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu