Május 18-án kelt, de csak most, közel egy hónappal később került nyilvánosságra az a határozat, amelynek értelmében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmarasztalja a DIGI Távközlési Kft.-t, és ezzel együtt rekord összegű bírság, százmillió forint megfizetésére kötelezi a céget. Ilyen hatalmas büntetésre nem volt példa a GDPR-szabályozások bevezetése óta.
A NAIH weboldalán megtekinthető határozat, és főleg a büntetés összege kifejezetten kemény, pedig a DIGI annak idején magától, azonnal jelezte a NAIH felé a két esetet, miután tudomásukra jutott a két eset, és végig együttműködtek a hatósággal. A cég figyelmét 2019. szeptemberében etikus hackerek hívták fel arra, hogy a digi.hu weboldal mögött álló, nyílt forráskódú kiszolgáló szoftver sebezhetőségének köszönhetően tárva-nyitva áll a kapu ahhoz, hogy bárki megszerezzen két ügyféladatbázist. Ezek egyike a hírlevélre feliratkozottak nevét és e-mail címét tartalmazta, a másik pedig részletes előfizetői adatokkal telepakolt, tesztelésre használt lista volt.
Utóbbiban egy csomó olyan információt is meg lehetett találni a név és e-mail cím mellett, amelyeket az ügyfelek általában szerződéskötéskor adnak meg, így látható volt az illető anyja neve, lakcíme, születési helye és ideje, telefonszámai, valamint személyi igazolványának száma.
NAIH-2020-1160-10-határozat
A DIGI értesítése nyomán a NAIH tavaly októberben kezdte a vizsgálódást azzal kapcsolatban, mindent megtett-e a cég az adatok védelméért, és a határozat szerint egyértelműen bizonyítható, hogy többszörös mulasztásuk okozta az adatvédelmi hibát. Nem csak a konkrét biztonsági rés megléte számít aggályosnak a hatóság szerint, de a DIGI azt sem tudta pontosan visszafejteni, milyen célból készült a tesztadatbázis és miért nem törölték azt az egykori funkciójának teljesítése után. Egyébként maga a sérülékenység is komoly volt, és állítólag az incidens előtt 9 évvel fedezték fel, tehát bőven lett volna idő a kijavítására. Szintén felrótták, hogy az adatbázisok semmilyen titkosítással nem rendelkeztek, pedig erre az ezeket kezelő szoftver lehetőséget nyújtott volna. A DIGI szerint ez utóbbit azért nem tették meg, mert ez gondot okozott volna az adatbázisokat használó rendszerek működésében.
