100 millió forintos GDPR bírságot kapott a Digi

A NAIH határozatából:

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a Digi Távközlési és Szolgáltató Kft-t (székhely: 1134 Budapest, Váci út 35., cégjegyzékszám: 01-09-667975) (a továbbiakban: Ügyfél vagy Adatkezelő) érintő, általa elektronikus úton 2019. szeptember 25-én [...] azonosítószámon bejelentett adatvédelmi incidenssel kapcsolatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 5. és 32-34. cikkeiben foglalt kötelezettségei feltételezhető megsértése miatt hivatalból megindított adatvédelmi hatósági eljárásban

1. megállapítja, hogy

a. az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdésének b) („célhoz kötöttség”) és e) („korlátozott tárolhatóság”) pontjait, amikor az adatvédelmi incidenssel érintett, eredetileg hibaelhárítási célból létrehozott tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így az abban tárolt nagyszámú ügyféladat a következő [...] időszakban cél nélkül és azonosításra alkalmas módon került tárolásra a használt rendszerekben. Ezen intézkedés hiánya közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését és a személyes adatok hozzáférhetőségét.

b. Az Ügyfél megsértette az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdéseit, így nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, azzal, hogy

  • az általa használt tartalomkezelő ([...]) egy több mint 9 éve ismert, megfelelő eszközökkel egyébként detektálható és javítható sérülékenységét kihasználva lehetett hozzáférni a nyilvánosan elérhető digi.hu weboldalon keresztül az incidenssel érintett adatbázisokhoz;
  • az adatvédelmi incidenssel érintett személyes adatok tekintetében ([...]) nem alkalmazott titkosítást, amely így az incidensből fakadó kockázatokat nagy mértékben megnövelte.

Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül.

2. kötelezi az Ügyfelet, hogy vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot!

3. a  fenti jogsértések miatt az Ügyfelet a jelen határozat véglegessé válásától számított 30 napon belül

100.000.000,-Ft, azaz százmillió

forintadatvédelmi bírság megfizetésére kötelezi;

Részletek a NAIH határozatban.

Hozzászólások

Ezek az anyám nevével (is) játszottak?!

trey @ gépház

Nagyon ki akarják csinálni ezt a céget...

Amúgy meg felmerül a kérdés, hogy miért nincs hivatalos fixálása egy 9 éve létező és ismert sérülékenységnek ennek az openszósz tartalomkezelőnek? Hanem úgy kéne összevadászni a foltokat hozzá ki tudja honnan, mert különben jön a 100 millás bünti. Minden esetre remek érv lesz ez az összeg és az incidens okozta arcvesztés, ha meg kell győzni valami döntéshozót!

A biztonsági rés egyébként már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás is, amit azonban az Ügyfél korábban nem telepített. Ennek oka, hogy a javítás nem képezte részét a szoftverhez hivataloson kiadott javítás-csomagoknak.

„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Te tudsz valamit erről a konkrét ügyről, amit én nem, azért személyeskedsz? Ki mondta, hogy itt mindenféle foltokat kellett összevadászni?

„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Amit lehet Jupiternek, (Kubatovnak), nem szabad azt a kisökörnek, (DIGI-nek aki a Telenorra veszélyes lenne, ha magmaradna)!

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nem lehet kiepiteni egy orszagos halozatot ugy, hogy ne lenne az allam segge kinyalva. Csak most mas tisztabbra nyalja.

A GDPR meg arra lett eleve kitalalva, hogy erre lehessen hasznalni. Ki nem szarja le a felhasznalokat? Csak kell egy sztori a birkaknak

Nem. A magyar netezőket szívatják. Mert hogy kis hazánkban messze ez a legjobb szolgáltató mind árban mind minőségben, viszont ugyanezért simán megteheti hogy ezt az összeget szépen megjelenítse egy helyes kis áremelés formájában, mert hogy ez még utána is így marad.

Úgy érted, hogy

  • a GDPR rossz dolog
  • a Digi nem hibázott
  • a személyes adatok védelme nem fontos
  • a Digi nem érdemelt büntetést

Melyik? Kérdezem egyébként elégedett Digi ügyfélként, aki most nem tudja még hivatalosan, hogy milyen személyes adatai kerültek illetéktelen kezekbe, mert a Digi nem értesített róla egyből azután, hogy a tudomására jutott az incidens. Ez az adatszivárgás azért nem csak egy e-mail cím kategória:

A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

[...]

Az Ügyfél által tesztelési és hibajavítási célból létrehozott adatbázisban tárolt adatok (érintett neve, születési neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolvány száma, esetenként személyi száma, e-mail címe, vezetékes és mobil telefonszáma, fizetési és banki adatok, igényelt szolgáltatással kapcsolatos adatok) ismeretében pedig elkövethető személyazonosság-lopás, vagy személyazonossággal visszaélés.

Ha nem látom meg tegnap Buherátor tweetjét és nem olvasom el a határozatot, a mai napig nem tudnék az esetről.

Szerinted ez így rendben van? Az, hogy milyen színvonalon szolgáltat, az teljesen irreleváns ebben a kérdésben.

trey @ gépház

Ugy ertem, hogy a buntetes semmivel se gyorsitotta az ugymenetet, egy figyelmeztetes is eleg lett volna, mivel az *elso* eset.

Es a gdpr is ugy irja, hogy eloszor figyelmeztett, aztan buntet.

Plusz az ok-okozat is hibas. A naih utolag buntetett nem ok szolitottak fel, nem.ok.vettek eszte a hianyossagot.

Legjobban ez a kep irja le az esetet:

 

https://www.memedroid.com/memes/detail/714898

 

 

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A sziget gdpr bírságához képest - nagyon durván - 3x akkora. Ha más típusú telco bírságokhoz nézzük akkor persze nem sok, de szerintem az ugyanúgy alma a körtéhez, mint a rendezvényszervező a telcohoz. Szerintem megmarad változónak az arányosság kérdése számomra, de persze csak laikusként találom soknak.

Az első alkalommal figyelmeztetés elve a nevezett határozatban is szerepel:
https://www.naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf

Nagyjából átolvastam, érdekes, hasznos.

A Digi hibázott. Most a NER-t fölösleges volt idekeverni, tény.  (Legfeljebb abban az értelemben, hogy tényleg csípi a NER-huszárok érdekeltségi körét. Ebben az esetben pedig a Diginek ez fölösleges támadási felület volt stratégiai értelemben, szakmai szemmel pedig valaki nagyot hibázott.)

Hát, ha már ezt azt a GDPR dolgot okvetlenül be kellett vezetni, akkor a törvényt alkalmazzák is néha.

Olyan esetekben, ahol a felelős rendszergizda ennyire ostoba, ott bizony fizetni is kell.

Nálatok talán másképp van?

Kamu duma hogy teszt adatbázis. Kint maradt, közepesen nehezen hozzáférhető volt, csak elmostak a dolgokat ezzel a teszt dumával. Az állam pedig a cégmeret alapján kiszabott egy kisebb buntit. 

Egyáltalán nem biztos, mivel a Drupal 7.0 jelent meg kb. 9 éve és az nem jelent meg volna ilyen sérülékenységgel. Max. valami külső modul lehetett, de erről még keresek infót.

„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Szerkesztve: 2020. 06. 13., szo - 01:01

És vajon az etikus hacker itt mit jelent? A DIGI felkérte erre a támadásra a hackert, ami alapján NAIH így nevezi?

Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül.

Úgy értik, hogy szólt a hibáról és a Digi nem jelentette fel, mint a T ezért, hanem javította a hibát. A NAIH pedig megbüntette a Digit, mert ezeket az adatokat már rég törölni kellett volna + sérülékeny volt a rendszer + IDS sem jelezte a hacker tevékenységét. Maguk az adatok nem kerültek sehova vagy legalábbis nem lehet tudni róla, hogy korábban nem-e jött rá erre más is és mentette le őket. Tehát nem egy T szintű hiba volt, ahol nem javították míg hatalmas botrány nem lett és addig mindenki rajtuk röhögött és mentegette az adatokat.

Egyébként én is tudok egy igen komoly hibáról, de a magyar viszonyokat ismerve inkább nem jelentem sehova. Mondjuk ha lenne egy hivatalos program, amiben fizetnének érte, hogy kerüljék el, hogy egy black hat lenyomja az infrajukat, az elég hasznos lenne.

Tehát ha jól értem, attól nevezzük etikusnak, hogy a Digi nem jelentette fel, a T pedig igen, tehát ettől vált nem etikussá, mert sehol nem írják hogy bármelyik cég megbízta volna a felfedezőket? Ellenben mind a két esetben a hacker által derült fény olyan sebezhetőségre, amely kritikus hibára hívta fel a figyelmet, s mint olyan a hackernek köszönhetően lett javítva (legalábbis az ő hatására).

Egyébként szerintem is etikus volt a hacker, csak mint megkülönböztetésként nem tiszta, hogy mikor és miért használják ezt a jelzőt egyik vagy másik esetben - hiszen dióhéjban egyikre sem kértek fel senkit, a jó szándék mindenhol megvolt, a nagyobb bajt előzték és kárt nem okoztak a tevékenységükkel (nem kürtölték szét, közvetlenül az érintettet tájékoztatták) meg a leírások alapján.

tele az internet bugbounty programokkal, nyilvan nem Mariska neni fogja bekuldeni a hibakat oda, es a bekuldok se konkret megbizasi alapon dolgoznak. bar ha tavolrol nezzuk a bugbounty tulkepp egy mindenkinek szolo megbizas... 

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem akartam elsőnek kiírni, de már ez nem stimmel. Önszántából munkálkodás sosem lehet etikus.  Abban az esetben lett volna etikus ha a Digi kéri fel, viszont akkor nem kell jelenteni mint incidenst (ha jól tudom).  Mert nem is az.

Etikus hacker keresi és javítja a hibákat, miért kellett volna ezt jelenteni?

Bullshit

https://adoc.tips/az-etikus-hacker-szerzi-jogi-kockazatai.html

Nem tudom, jól halottam-e de lehet a digi.hu állami kézbe fog kerülni, csatolni fogják a gázszolgáltatóhoz:)

NKM DIGI Zrt

Van egy olyan érzésem, hogy itt a 2021-es freki.pályázatból való kizárás oka. Mindenesetre ez így azért elég súlyos hiba. Még szerencse, ha csak etikus hacker érte el.

itt a 2021-es freki.pályázatból való kizárás oka

ne nevettess. az arról szólt, hogy a kialakult árazásokat nehogy derékbatörje vki.

Ebben a meglevő piaci szereplők mind egyet értenek, hogy nem szükséges árverseny, a kialakult állapotoknak mindenki örül.

Amikor fellebbent a digi mobil mint téma, összerosálta magát mindenki, de eddig szerencsésen ellehetetlenítették.

Telenyom + TeleNER + Yoda mindenki örül ennek az állapotnak. Fejlesztésre nem szeretnek költeni, üzemeltetésre még kevésbé, főleg, ha nehezen átadható az üf részére, hogy mitől lesz jobb neki attól, hogy megint 15-20%-al szarabb havidíjért kapja u.a-t. Jelszavak szintjén persze megy a szokásos parasztvakítás, de pl 5G-től beijedtek a marketingesek, mert van ahol gyújtogatnak miatta (Azon terjed a covid, hullanak a madarak tőle és hasonló "britt tudósok is megmondták..)

A telenyom egy fontos ldap (?) kiszolgálóját egy mókás kedvű srác *hivatalos tutorial*-ban szereplő host/ip alapján /talán egy portscan után/ megnyalta. Hogy mi a fittyfenét keresett a nyílt neten, elképzelni nem tudom.. Persze elég rég létezik sw defined fw, ilyen picike cégnek láthatóan nem telik arra, hogy megfelelő képességű mérnököket kellően hosszú ideig megtartson. Láthatóan a vastag aktatologató - papírügyintéző és papír vékony tevékeny réteg elképzelés hozza a megfelelő ár-érték arányt :). Értelmes embereket meg tűzzel-vassal írtják. Bevett modell az elmúlt ~10 évből..

https://goo.gl/muWzKz (digitalocean)

Nem igaz, hogy a magyar szolgálatok nem költenek fejlesztésre, európai viszonylatban is meglehetősen jól állunk ebben a tekintetben. 

Tudsz erre a konkrét incidensre (publikus LDAP) linket adni?

Az eljárás alá vont srác DNS szerverrel játszott, ennyit lehet tudni:

"Böngészgetett, és a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz."

Lehet értetlen vagyok, de ha egy sebezhetőség akár több lépcsős is, végső soron az adatok ugyanilyen mértékben veszélyben vannak. Az én értelmezésemben itt az LDAP az már egy következő réteg volt, amihez egy nyilvános sebezhetőségen keresztül lehet eljutni.

A DIGI esetében a Drupal volt a nyilvános sebezhetőség, és a MySQL?-hez lehetett hozzáférni, de még olyat is olvastam a határozatban, hogy előkerültek rendszergazdai hozzáférések is. És ezáltal lekért egy sort az adatbázisból, ahol statikus ügyfél adatok voltak.

Az LDAP-ban mik voltak vajon, ha ott lekért egy sort? Ott valami olyasmit írtak, hogy leállíthatta volna az internetet a srác? Ez elég komolynak hangzik.

Röviden mind a két esetben volt egy-egy sebezhetőség publikusan, ami lehetőséget adott hozzáférni egy-egy adatbázishoz (akár rendszergazdai jogokkal is). Mind a két eset kritikus a maga módján, ha egyik nem kritikusabb a másiknál és sok hasonlóság is látszik, mégis egészen máshogy lettek kezelve, szerintem st3v3 is erre utalt.

szerintem csak a cikkíró tech skill-jeit minősítette a mondat :)

Mondjuk igen, ez olyan, hogy letöltöm az internetet :D :D :D De azért a többi írást, a közleményeket elnézve azért elég komoly hiba volt ami ha nem is az "internet"-et, de a T hálózatát befolyásolhatta. Persze elég két értelmű, hogy a T azt mondta semmi para nem volt, ne aggódjatok, míg a hatóságok közleményei a szöges ellentétét próbálták bizonyítani. Nagyon érdekes lenne tudni, hogy miért volt ekkora ellentét a két szereplő részéről. Szóval ezért gondolom, hogy itt valami el lett sunyítva a T részéről.

Nem igaz, hogy a magyar szolgálatok nem költenek fejlesztésre, európai viszonylatban is meglehetősen jól állunk ebben a tekintetben. 

Nem azt írtam, hogy nem költenek, azt írtam, hogy nem szeretnek költeni.

MO pl a T számára mindig is kísérleti játszótér volt: van ami kapcsán ennek lehet örülni, van ami kapcsán meg.. hagyjuk.. sikerprojektek, sikerprojektek mindenütt :). Egészen más a helyzet, ha a fizikai rétegről, vagy a sw-es dolgokról van szó.

Jah és attól, hogy irgalmatlan mennyiségű pénzt balfasz módon kidob az ember dolgokra még nem azt jelenti, hogy érdemben fejlesztett is vmit / vmin. Esetleg visszafejlesztett...

https://goo.gl/muWzKz (digitalocean)

Mindenki tudja miről szól ez.

Ja, most esett le! A gonosz NER rávette az EU-t, hogy csináljon egy ilyen GDPR nevű izét évekkel ezelőtt (már előre tudta mire kell majd neki), elfogadtatta minden EU-s tagállammal ezt a trójai falovat, majd gonosz módon odacsempészett egy 9 éve fixálatlan biztonsági hibát a cég ügyél oldali tartalomkezelőjébe, egy hátsó kapun keresztül készített egy adatbázis dumpot, amit aztán az internet felől ellopatott egy 3rd party-val.

Vagy ha nem erről szól, akkor világosíts fel, mert én nem tudom.

trey @ gépház

Mennyire büntették a T-t, amikor minden felhasználó adatát le lehetett tölteni, aki jegyet vásárolt? Hány napig is? Teljesen nyilvánosan elérhető információk alapján.

Itt egyetlen egy emberről tudunk, aki elérte és szólt a Diginek, aki azonnal javította. T-nél már mindenki posztolgatta a fotókat, ahogy lapoznak a felhasználók között, amikor T még mindig azzal volt csak elfoglalva, hogyan lássa el a hacker baját.

Ja és segítek, ha szelektív lenne a memóriád:

Az adatvédelmi hatósági eljárást a T-Systems Magyarország Zrt. (Budapest 1117 Budafoki 
út 56.; a továbbiakban: TSM) ügyfél vonatkozásában – mivel a hivatalbóli eljárás jogsértést 
nem tárt fel – megszünteti.

Amiről te beszélsz, az meg ostobaság. Mármint azért nem büntetni meg egy vétkest, mert egy másik tényállásban egy másik céget a hatóság  nem marasztalt el. Nem az a módja, hogy akkor mostantól mindenkit futni hagyunk.

Amit én látok itt, az is egy kettős mérce egyesek részéről:

"Jaj, a Digi szimpatikus cég, 3 ezerér' giganet, báncsák :((( brühühüh, a T meg Offline."

trey @ gépház

Semmilyen mellébeszélés nincsen. Egy sokkal súlyosabb hiba, sokkal hanyagabb hozzáállással, bizonyítottan sokak által letöltött, küldözgetett adatbázissal. Csak ugye aki benne volt, az kedves a kormányzat számára. Ha valaki bármit megtehet következmények nélkül, valakit pedig egyfolytában büntetnek, akkor ennek szerinted milyen piactorzító hatása van?

Segítek: https://youtu.be/tkOBv2gkMOY

Még mindig mutogatsz és mellébeszélsz. Az esetet önmagában vizsgálva, figyelembe véve a kiszivárgott adatok érzékenységét, az érintettek számát, a vétkes piaci súlyát, a vétkes árbevételeit, úgy véled, hogy a GDPR-t nem sértette meg oly mértékben, hogy indokolt lett volna a szankció?

trey @ gépház

Dehogynem. A büntetés teljesen jogos volt. Én azt mondom, hogy a piac többi szereplőjét is ugyanígy kellene büntetni és nem kivételezni.

A de az "esetet önmagában vizsgálvára" pedig van egy jó filmem, talán te is ismered: https://youtu.be/J2Bx19qJ_Vs

Szóval valóban eltekinthetünk mindentől..

"esetet önmagában vizsgálvára"

Úgy érted, hogy Magyarországon precedens jog van, így nem önmagában vizsgálnak egy-egy esetet, hanem a hasonlóakat együtt kezelik?

Egyébként félrebeszélsz, a T esetben az ügyféladatokat nem érintette az "etikus hacker" tevékenysége, itt meg anyám neve, lakcímem, banki adataim kerülhettek idegen kézbe. Hogy lehetne a két esetet azonos súllyal kezelni? Világítsd meg kérlek.

trey @ gépház

Te beszélsz félre. Vagy szándékosan vagy tudatlanságból: https://index.hu/tech/2017/07/15/barki_feltorheti_a_bkk_elektromos_jegyvasarlo_rendszeret/

T-nél ügyféladatok is szivárogtak korlátlan mennyiségben. Mennyit is kaptak a fejlesztésre?

Ha pedig a másik támadásról beszélsz (Telekom saját rendszere ellen), ott nagyon gyorsan elkenték azzal, hogy nem férhetett volna hozzá ügyféladatokhoz (ezt mondták a médiának), miközben a feljelentésben erre már máshogy emlékeztek. Ugyanúgy médiának azt mondták, hogy nem volt veszélyben az infrastruktúrájuk, de feljelentésben közérdekű üzem megzavarása szerepelt. Nem látsz ebben semmi ellentmondást?

Én viszont a BKK-s esetről beszéltem és csak a végén sejtettem, hogy te nem arra gondoltál. Precedens jog valóban nincs Magyarországon, azonban ez esetben nincs is rá szükség (mert eltér egymástól a két ügy, a T sokkal súlyosabb).

"Egyébként félrebeszélsz, a T esetben az ügyféladatokat nem érintette az "etikus hacker" tevékenysége, itt meg anyám neve, lakcímem, banki adataim kerülhettek idegen kézbe. Hogy lehetne a két esetet azonos súllyal kezelni? Világítsd meg kérlek."

A mostani esetben az etikus hacker kezébe kerültek adatok. Ebben az esetben, ha következetes lennél akkor őt is idézőjellel kellene illetned, a határozattól függetlenül. Vagy fordítva, a másik esetben mitől etikátlanabb a hacker?

A T-s esetben honnan vagy ebben olyan biztos, hogy nem érintett ügyfél adatokat - eltekintve most attól, hogy ügyfelük vagy-e vagy sem? Azért, mert ezt írták az újságok?

És a BKK-s eset?

Szóval ez nem ennyire fekete-fehér. A DIGI-s eset teljesen korrekt volt, mind a cég, mind pedig az eljáró hatóság oldaláról. A T-s esetben a T hozzáállása sunyi. A kettős mérce fennáll, jól látja answ is.

A T mondott valamit a médiának, s hogy ez úgy is van-e, valószínűleg senki nem ellenőrizte.

Ez így nem igaz. Nem a T szavára alapozok, hanem az ügyben ítéletet hozó bíró szavaira:

https://youtu.be/US-ehwo55mM?t=565

Ráadásul erre épített a védelem: nem volt adatlopás, ha lett volna, akkor megállt volna a közérdekű üzem működésének megzavarása bűntett és nem úszta volna meg ennyivel).

Tehát, az az ügy fajsúlyában sokkal kisebb, mint hogy több százezer ügyfél személyes adatai, szem. ig. száma, anyja neve, lakcíme kiszivárgott.

trey @ gépház

Ez így nem igaz. Nem a T szavára alapozok, hanem az ügyben ítéletet hozó bíró szavaira:

Valóban, a bíró ezt mondja. Na de:

Tehát, az az ügy fajsúlyában sokkal kisebb, mint hogy több százezer ügyfél személyes adatai, szem. ig. száma, anyja neve, lakcíme kiszivárgott.

A DIGI-nél hol szivárgott ki ez a több százezer adat? Erről sincsen semmi. Csak az, hogy az "etikus hacker" hozzáfért, lekért egy sort amivel bizonyította hogy ez lehetséges. A kiszivárgás ténye nincs sehol megerősítve. Annyi van még, hogy ez ellen kellett volna védelmet biztosítani a DIGI-nek. Párhuzamba vonva a T-nek az LDAP-hoz való hozzáférést kellett volna megakadályoznia, hiszen más ott sem történt.

Ráadásul erre épített a védelem: nem volt adatlopás, ha lett volna, akkor megállt volna a közérdekű üzem működésének megzavarása bűntett és nem úszta volna meg ennyivel).

Ez így rendben is van, de én arra akartam rávilágítani, hogy a lehetőség mind a két oldalon megvolt. A hiba azért az egyik esetben súlyosabb volt, mint a másikban. Ha ezt nem egy olyan személy találja meg, aki tálalja a rendszergazdák részére a kész tényeket, akkor nagy eséllyel mind a két esetben már letöltöttek volna mindent, és azt kényük kedvük szerint használják.

És a T-s ügyben végig ez volt, tehát nem mondták, hogy bármi kiszivárgott volna, hanem hogy meg volt a lehetősége arra, hogy tovább lépjen (LDAP rendszergazda -> az authentikált hálózati eszközök), ami nem történt meg a tényállás szerint. A DIGI-s esetben szintén volt egy ilyen lehetőség, letöltött ugyan egy sort, amivel megerősítette a lehetőséget (tehát belépett a MySQL-be), talált admin jogosultságú hozzáféréseket is, de a tényállás szerint ezeket átadta, és további esemény nem történt velük.

A [T] kérdésünkre azt írta: az ügyfelek személyes adatait András tevékenysége nem érintette, a [T] vezetékes és mobil-előfizetőinek személyes adatai teljes biztonságban voltak és vannak. Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak.

Pontosabban a T valóban csak annyit közölt amúgy a médiában, hogy a hacker tevékenysége nem érintette az ügyfél adatokat, valamint a hálózatuk integritását. Ezt mindenki értelmezze ahogy akarja, de azt is jelentheti, hogy nem töltötte le őket, nem nyúlt hozzájuk. De a lehetősége meglett volna rá, helyette jelezte azt, tehát a jóhiszeműségnek köszönhetően tudták javítani.

Az etikus hacker által küldött, a sérülékenységet leíró e-mail üzenetből kiderül, hogy a […] megnevezésű ([…] adatsort tartalmazó) adatbázis mellett az incidensben érintett […] megnevezésű adatbázis a digi.hu honlapon a hírlevélre feliratkozó érintettek személyes adatai mellett a digi.hu honlap felületéhez tartalmaz hozzáférési adatokat. Ebben a […] megnevezésű adatbázisban a […] megnevezésű […] részleges / teljes jogú rendszergazda felhasználó adatai is kiolvashatóak az etikus hacker levele szerint. Ezen adatok között szerepel a […]. Ezen adatok az üzenet szerint hozzáférést engedhetnek a digi.hu honlap adminisztrációs felületéhez.

Ebből kifolyólag letölthette volna a teljes adatbázist és hozzáférhetett volna a DIGI Drupaljának admin felületéhez. Ami egy feltételezés, mint a T-s ügyben, de tegyük fel adathalász célokra is használhatta volna az admin hozzáférést. Mert megtehette volna. De nem tette. Tehát a jóhiszeműségnek köszönhetően tudták javítani.

Nem kétséges, hogy mind a két esetben megtörténtek bizonyos jól kategorizálható és összehasonlítható cselekmények, de jól látszik, hogy mind a két esetben másképp minősítették a szereplőket, a hasonló cselekményeik alapján.

Szumma-szummárum: A DIGI-s eset szerintem jó példát mutat, korrekt hozzáállás, mert:

  • Az "etikus" hacker, bár nem lett felkérve, de túlbuzgóságát nem károsan használta fel, és kizárólag az érintettel közölte
  • A DIGI belátása szerint cselekedve nem tekintette károsnak ezt a tevékenységet
  • A DIGI bejelentette az incidenst is (emiatt kapott büntetést), de ez a helyes lépés, nem sunyított
  • A hiba javításra került
  • És ami a legfontosabb: A DIGI-nek legközelebb is fognak segíteni

A másik esetről ezek nem mondhatók el.

Valóban, a bíró ezt mondja.

Nyilvánvalóan szakértői véleményre alapozva, mert a bíró nem szakember. Most komolyan! Eddig azt hallgattam, hogy az elfogult ügyészség a szegény srácra rá akarja húzni a vizes lepedőt, de nem sikerült mert nem csinált semmi rosszat, most meg éppen afelé megyünk, hogy ez nem biztos, hogy így van?

A DIGI-nél hol szivárgott ki ez a több százezer adat? Erről sincsen semmi. Csak az, hogy az "etikus hacker" hozzáfért, lekért egy sort amivel bizonyította hogy ez lehetséges.

Nagyvonalúan megfeledkezel a Digi által létrehozott tesztadatbázis dumpról :D  Nem az egy sor a probléma, hanem, hogy hozzáfértek (vagy hozzáférhettek) az ügyféladatbázishoz. Szerinted azzal mi lett? Megtippeljem? Letöltötte az "etikus" majd belenézett mi van benne. Onnantól pedig, hogy letöltötte, honnan tudod hova került? Vagy honnan tudod, hogy más nem találta meg a hónapok során?

  • Az adatbiztonsági hiányosságokon túl az incidens bekövetkezése közvetlenül visszavezethető a hibaelhárítási célból létrehozott tesztadatbázis alapelvi szinten jogsértő cél nélküli és az érintettek azonosítására alkalmas módon való hosszú ideig [...] történő tárolására. Amennyiben a tesztadatbázis az alapelveknek megfelelően törlésre került volna a hibajavítási cél megvalósulása után, úgy az incidens által az érintettekre jelentett kockázatok is sokkal enyhébbek lettek volna, mivel az érintett adatalanyok száma ezen tesztadatbázisban szereplők számával ([...] érintett) csökkenthető lett volna. Az adatbiztonsági hiányosságok a tesztadatbázis időben való törlése esetén csupán a direkt-marketing adatbázisban kezelt személyes adatok ( [...] érintett ) és a digi.hu honlap rendszergazdai adatai ( [...] érintett) esetén álltak volna fent.
  • A cél nélkül kezelt adatok beazonosítását, az adatok megtisztítását, aktualizálását és szükség szerint törlését az Ügyfél belső előírásai is tartalmazzák, amely szintén ellentétben áll az incidensben érintett tesztadatbázis kezelésének körülményeivel.
  • Az adatbiztonsági hiányosságok és az alapelvi szinten jogsértő adatkezelés nagy számú (összesen [...] fő) érintett személyes adatait érintette, amely tartalmazza az Ügyféllakossági ügyfeleinek [...]. Ez az ország lakosságának arányához viszonyítva is jelentős szám (a magyarországi lakosság [...]).

Ezért lett ekkora a büntetés. Nem az egy lekért sor miatt... El kéne olvasni azt a határozatot szerintem :)

trey @ gépház

Nyilvánvalóan szakértői véleményre alapozva, mert a bíró nem szakember.

Itt nem a bírói döntést és a szakértők elemzését kérdőjeleztem meg, hanem azt, hogy mit próbált elrejteni esetlegesen az "Ügyfél" ebben az esetben. Nyilván ezek csak lehetőségek. De ezekben az ügyekben az a szép, hogy rengeteg feltételezést tesznek mögé :) Kinek előnyére, kinek hátrányára.

Megtippeljem?

Kérlek, ne :D Pont ez a baj, hogy az ügyészek is tippelgetnek. Ne legyél ügyész! 

Letöltötte az "etikus" majd belenézett mi van benne. Onnantól pedig, hogy letöltötte, honnan tudod hova került? Vagy honnan tudod, hogy más nem találta meg a hónapok során?

Akivel leszerződsz etikus-al, Ő is letöltheti, bele is nézhet, de utána megsemmisíti (amennyiben így állapodtatok meg). Mivel itt nincs szerződés, ezért nyilván szerződés ezt nem "garantálja". Pont annyira nem, mint ahogy a szolgáltatód adatvédelmi nyilatkozata sem, hiszen mégis történnek események. Attól még egyik-másik állapot sem igazabb. Szóval, tényleg nem érdemes tippelgetni.

Ezért lett ekkora a büntetés. Nem az egy lekért sor miatt... El kéne olvasni azt a határozatot szerintem :)

Én elolvastam és nem is volt kivetni valóm a büntetés mértékével szemben. Most egészen más aspektusból boncolgattam a történetet, nevezetesen a szereplők hozzáállása alapján. Tehát hibáztak, büntetést kaptak. Az ügy folyamata egészen más (nyilván az eljáró hatóság is más, de mekkora különbség te jó ég :)).

Más részről, itt a DIGI feladta magát, őket boncolták szét. A T nem adta fel magát, feljelentette az "etikus"-t, így őt boncolták szét. Emellé a T még nyilatkozgatott, mert hát nehogy őket is szétboncolgassák. Végső soron mind két cég kijavította a hibát. Az egyiknek fognak a jövőben is segíteni, a másiknak meg... hát :) Te segítenél?

Ebből jött a konklúzió, hogy a DIGI korrekten járt el utólag, amikor szembesült a hibával amit jelentettek neki. Előtte nem, ezért is kapta a büntetését.

De csak, hogy értsd, még így is inkább a DIGI ügyfele lennék, mint a T ügyfele, a tanúsított magatartásuk okán.

De csak, hogy értsd, még így is inkább a DIGI ügyfele lennék, mint a T ügyfele, a tanúsított magatartásuk okán.

Jaja, pontosan erre céloztam a sok érzelemvezérelt kommentre reagálva. A Digi "jócég, bántcsák". Nem, nem bántják. A Digi megérdemelten kapott ekkora büntetést.

trey @ gépház

Van előnye, meg hátránya. A jogalkotási szerepkör proliferációja eléggé kiszámíthatatlanná teszi a jogrendszert, szerintem nem múlhat azon egy ügy kimenetele, hogy egy ügyvéd megtalál-e egy 100+ évvel korábbi bírósági ítéletet, vagy sem. Illetve a másik oldalról, ne legyen kb. jogszabályi erejű egy olyan ítélet, ami mondjuk egy hajszálon múlt.

Az elv önmagában nem rossz, de csak nagyon óvatosan implementálnám.

Nem, csak a NER-lovaghoknak és lóvaginálknak b..a a csőrét, hogy egy szolgáltató jobbat tud olcsóbban, és még nem feküdt le nekik/nem nyallintott be a meleg féceszig. És ahol tudják, ott támadják, ott szivatják. De majd örülhetsz, lesz iptv-only tré/fpli meg vodka/upci meg persze telener, aztán azt nézed, amit engednek, és arról is percre pontos statisztika lesz (mert ugye az iptv erre is jó...) Hogy a ztán még mi fog bekerülni a telener-kompatibilis set-top boxba, amiről nem fog tudni az ügyfél, arra jobb nem is gondolni.

Szerkesztve: 2020. 06. 13., szo - 11:24

Súlyosító körülmények:

  • Az Ügyfélnél bekövetkezett adatvédelmi incidens egy olyan adatbiztonsági hiányosságra vezethető vissza, amelyre a piacon régóta elérhető volt az ingyenes javítás, a sérülékenység pedig akár harmadik személy által is könnyen detektálható volt, így az adatokhoz való jogosulatlan hozzáférésnek való kitettség elhárítására az Ügyfélnek a kockázatok megfelelő felmérése esetén nagyon régóta lehetősége lett volna.
  • Az Ügyfél által az ügy kapcsán érintett adatok nagy száma, azok érzékenysége által jelentett kockázatok, továbbá az Ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása.
  • Ahogy az saját belső szabályzataiban is megjelenik, az Ügyfél által használt (nyílt forráskódú) tartalomkezelő rendszer használatából adódó kockázatokat, illetve azok felmérését az Ügyfélnek kell viselnie és azokkal kapcsolatban helyt állnia. Az Ügyfél ezen intézkedések hiányával saját belső szabályzatai előírásainak sem tett megfelelően eleget.
  • Az érintett személyes adatokra alkalmazott titkosítás és ezzel kapcsolatos kockázatok felmérésének hiánya is megnövelte az incidensnek való kitettség kockázatait. Ezen intézkedés alkalmazása szintén megjelenik az Ügyfél vonatkozó belső szabályzataiban, amelynek szintén nem, illetve hiányosan tett eleget.
  • A digi.hu honlap tekintetében az adminisztrátori (rendszergazdai) jogosultsággal rendelkező felhasználók érintettségét a Hatóság a biztonsági kockázatokat súlyosan növelő tényezőként vette figyelembe.
  • A Hatósága megállapított adatbiztonsági hiányosságokat olyan rendszerszintű problémának tekinti, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is régóta fennállt az adatkezelő Ügyfélnél az érintett adatbázisok tekintetében.
  • Az adatbiztonsági hiányosságokon túl az incidens bekövetkezése közvetlenül visszavezethető a hibaelhárítási célból létrehozott tesztadatbázis alapelvi szinten jogsértő cél nélküli és az érintettek azonosítására alkalmas módon való hosszú ideig [...] történő tárolására. Amennyiben a tesztadatbázis az alapelveknek megfelelően törlésre került volna a hibajavítási cél megvalósulása után, úgy az incidens által az érintettekre jelentett kockázatok is sokkal enyhébbek lettek volna, mivel az érintett adatalanyok száma ezen tesztadatbázisban szereplők számával ([...] érintett) csökkenthető lett volna. Az adatbiztonsági hiányosságok a tesztadatbázis időben való törlése esetén csupán a direkt-marketing adatbázisban kezelt személyes adatok ( [...] érintett ) és a digi.hu honlap rendszergazdai adatai ( [...] érintett) esetén álltak volna fent.
  • A cél nélkül kezelt adatok beazonosítását, az adatok megtisztítását, aktualizálását és szükség szerint törlését az Ügyfél belső előírásai is tartalmazzák, amely szintén ellentétben áll az incidensben érintett tesztadatbázis kezelésének körülményeivel.
  • Az adatbiztonsági hiányosságok és az alapelvi szinten jogsértő adatkezelés nagy számú (összesen [...] fő) érintett személyes adatait érintette, amely tartalmazza az Ügyféllakossági ügyfeleinek [...]. Ez az ország lakosságának arányához viszonyítva is jelentős szám (a magyarországi lakosság [...]).
  • A Hatóság a bírság összegének meghatározása során figyelembe vette, hogy az Ügyfél által elkövetett alapelvi jogsértések az általános adatvédelmi rendelet 83. cikk (5) bekezdése szerint a magasabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek.

trey @ gépház

Kifutja valószínűleg:

A bírság összegének megállapítása során figyelembe vette a Hatóság, hogy az Ügyfélnek a 2018. január 1. 2018. december 31. közötti általános üzleti évet záró nyilvánosan elérhető beszámolója alapján ebben az évben összesen 47.299.383.000 HUF (négyvenhétmilliárd-kétszázkilencvenkilencmillió-háromszáznyolcvanháromezer forint) nettó árbevétele volt. A Hatóság továbbá figyelembe vette, hogy az Ügyfélnek a 2019. január 1. 2019. december 31. közötti üzleti évben a Hatóságnak NAIH/2020/1160/6. számú tényállás tisztázó végzésére küldött válasza szerint 51.890.528.182 HUF (ötvenegymilliárd-nyolcszázkilencvenmillió-ötszázhuszonnyolcezer-száznyolcvankettő forint) nettó árbevétele volt. A bírság megállapítása során a jogsértés fennállásának időszakára tekintettel vette figyelembe a Hatóság a 2018 és 2019-es üzleti éveket.A fentiek alapján a kiszabott bírság összege a jogsértés súlyával arányban áll.

trey @ gépház

Felvetődik a kérdés, hogy indokolt a SZIG számomnak, stb. egyáltalán az internetes szerveren lenni?
Nem céges LAN-ban levő szerveren illendő tárolni az ilyet, amit az esetleg nem irodából dolgozó ügyintéző max VPN után ér el kintről?
 

Van olyan cég, ami nem anonimizálja a teszteléshez használt adatokat?

Már a GDPR előtt 10 évről se emlékszem olyanra, hogy fejlesztőknek tesztelés céljából ne olyan másolatot adtak volna az éles adatbázisról, amin valamivel lesikálták a személyes adatokat.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hallottunk már olyanról, ahol a fejlesztői/teszt adatbázis úgy jött létre, hogy a "kéne egy új fejlesztői DB"-re az volt a válasz, hogy "a tegnap esti éles mentésből jó lesz?"... Aztán szerencsére volt egy tökös főnök, aki azt mondta, hogy pejparipa pimpiri - írjon a fejlesztő cég egy,a  megrendelő által elfogadott anonimizáló megoldást, és majd azzal megmogyorózva kapják meg a fejlesztői adatbázist. De ilyen tökös főnök nem mindenhol van... Vagy vanni van, de a fejlesztő olyan összeget mond az anonim-izélőre, hogy inkább a kockázat, hogy se&&beqki lesz az éles adatok használata miatt.

Hát... akkor lehet, hogy csak szerencsém volt, vagy túl nagy cégekkel dolgozom egy ideje, és nem egy emberen múlnak ilyen döntések.

Valamint általában nem a fejlesztő cég ír anonimizáló megoldást, hanem egyszerűen amikor kérjük, akkor anonimizált adatokat kapunk. Egy olyan projekt volt, 10 éve pont, ahol nekünk kellett kifejleszteni anonimizálást, szerény véleményem szerint szarul csináltuk és drágán. Egy figura volt erre ráállítva, és valami 3 hónapon át semmi mást nem csinált, csak anonimizálást. Ráadásul baromi nagy titok volt, hogy hogyan is működik az algoritmus, feltételezésem szerint azért, mert az algoritmust ismerve vissza lehetett volna állítani az eredeti adatokat.

Most lehet, hogy én vagyok túl egyszerű, de én simán ráeresztettem volna valami hash funkciót a személyes adatokat tartalmazó oszlopokra (név, cím, ilyesmik voltak), aztán csókolom. Nem emlékszem, volt-e az ügyféladatok között telefonszám, születési dátum, de ezekkel úgyse kellett semmit sem csinálnunk, tehát akár mindet helyettesíteni valami fix értékkel is jó lett volna.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Általánosságban igen, de az én konkrét példámban ügyfelek befektetéseiről kellett kockázat jelentést készítenünk.

Nem emlékszem már, hogy pontosan milyen személyes adatok kerültek hozzánk, de szerintem mondjuk számlaszámon kívül csak az ügyfél neve, címe, meg ilyesmik lehettek. Vannak olyan oszlopok, amiket teljes lelki nyugalommal ki is töröltem volna az exportból, mert nem használtuk úgyse semmire.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.