Kiderült: a bubisok adataihoz is hozzáférhettek

Újabb adatbázis érkezett a 24.hu szerkesztőségéhez, több mint 5 ezer ember adatait tartalmazza: azonosítók, telefonszámok, e-mail címek. A NAIH adatvédelmi hatósági eljárást indít.

A portál informátora szerint a Mol Bubi aktív szerződéseinek egy részéhez a BKK oldalának sérülékenysége miatt lehetett hozzáférni. Szakértők szerint ha hozzáértő a támadó, képtelenség lekövetni a nyomát. Így akár külsős ember is szimulálhatta, hogy a T-Systems Magyarország személyi állományából szivárogtattak ki adatokat.

"Tavaly óta tudok a hibáról. Kipróbáltam, hogy működik-e, de akkor adatokat nem húztam le a rendszerükből. Akkor kezdtem el foglalkozni a BKK-val megint, mikor kibuktak az e-jegyes amatőr hibák." - állítja a forrás.

Az újabb jelzés nyomán, a jogszabályoknak megfelelően, a portál ismét megkereste a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), és átadta az adatokat; az adatvédelmi hivatal összevetése igazolhatja majd az adatok valódiságát.

"Hatósági eljárást már indíthatnék, hiszen beadvány és panasz is érkezett hozzánk azóta. Még nem döntöttem, hogy milyen vizsgálatot indítok, azzal megvárnám a BKK válaszát. A döntést az is befolyásolja, hogy milyen más adatokat kapok, illetőleg azok mennyire relevánsak – válaszolta Péterfalvi Attila NAIH-elnök.

Részleteket itt talál!

UPDATE: A NAIH adatvédelmi hatósági eljárást indít

Péterfalvi Attila közleményében azt írta, az adatvédelmi hatósági eljárás elindításáról a sajtóban megjelent információk - és ezeken alapuló állampolgári beadványok - alapján, valamint a 24.hu által elküldött adatbázisok áttekintését követően döntöttek, mivel "a feltételezett jogellenes adatkezelés személyek széles körét érinti, illetve nagy érdeksérelmet idézhet elő".
Hozzátette: a hatóság az eljárás során elsődlegesen azt vizsgálja, hogy a BKK és a T-Systems Magyarország az adatkezelések során teljesítette-e az információs önrendelkezési jogról és az információszabadságról szóló törvényben szereplő kötelezettségeket, különösen az informatikai rendszerekkel összefüggésben az adatbiztonsági követelmények.

Péterfalvi Attila felidézte: a törvény alapján az adatkezelőnek és az adatfeldolgozónak a személyes adatokat megfelelő intézkedésekkel védeniük kell többek között a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal vagy törlés ellen, emellett a jogszabály további kötelezettségeket is megfogalmaz a személyes adatok automatizált feldolgozása során.

A hatóság az eljárás során a BKK-tól és a T-Systems Magyarország Zrt.-től is szerződéseket és belső szabályzatokat kér be, valamint több kérdést is feltesz az adatvédelmi incidensekkel kapcsolatban. Péterfalvi Attila megjegyezte: adatvédelmi eljárásban a hatóság adatvédelmi bírságot is kiszabhat jogellenes adatkezelés miatt, amelynek összege 20 millió forintig terjedhet.