Adatvédelem és információszabadság

Next Time jobban odafigyel Ivánra

ROBINSON-TOURS-NAIH

Az év végére maradt az utóbbi idők legfontosabb és legérdekesebb magyar adatvédelmi incidense. A Nemzeti Adatvédelmi és Információszabadság Hatóság ugyanis egy olyan ügyben hozott határozatot, aminek az általános megítélését már annyiszor kérdezték tőlem, hogy ha pénzzé válthattam volna, már milliomos lennék.

Megtörtént ugyanis minden IT fejlesztőcég rémálma, az adatvédelmi incidens, melynek a nem megfelelő IT infrastruktúra és a hanyag információbiztonsági szervezés volt az oka, és melynek eredményeként az „éles” személyes adatok a tesztadatokkal keveredve a tesztsíkról szivárogtak ki az internetre oly módon, hogy azokat még a Google is leindexálta. A kérdések persze nem erre a szituációra, hanem arra vonatkoznak, hogy az IT fejlesztéssel együtt járó adatfeldolgozói szerződések milyen kockázatokat jelentenek az aláíró felek számára.

Mondanám, hogy a tanulságokat most az érintett cégek vonhatják le a saját kárukon, de valójában ez sem igaz, hiszen a sérülékenység a „ROBINSON-TOURS” Idegenforgalmi és Szolgáltató Kft. „f.a.” weboldalát érintette, amely – mint az közismert – már felszámolás alatt áll (nem a bírság miatt, de erről később).

Az ügyről idéznék az alábbiakban néhány bekezdést a határozatból. A NAIH-hoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a weboldalon keresztül bárki számára elérhetőek a közérdekű bejelentő természetes személy ügyfeleinek személyes adatai, Így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással valamint a szerződéskötéssel kapcsolatos adatok.

Ezek az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentés szerint erre a bejelentő úgy jött rá, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.

A hatóság ellenőrizte a fenti linkeket és megállapította, hogy a linkek birtokában, azt a webböngészőbe beírva, bármilyen jogosultságellenőrzés, vagy más informatikai biztonsági intézkedés közbeiktatása nélkül a weboldalon – a bejelentő által állítottaknak megfelelően – elérhető egy adatbázis, amely különböző természetes személy ügyfelek személyes adatait tartalmazza.

A linkeken keresztül megtekinthető táblázat összesen 375 rekordot tartalmazott. Ezek között voltak valószínűsíthetően fiktív személyek is (pl.: „TESZT TESZT”, „TESZT IVÁN” stb.), azonban többségük létező természetes személy ügyfeleket takart. Az útitársak száma és neve alapján ennél azonban sokkal több, ezer feletti személy adatai is elérhetőek voltak a honlapon keresztül. A linkeken keresztül elérhető adatbázisból lehetőség volt arra is, hogy az egyes ügyfelekkel kötött utazási szerződéseket bárki szabadon letölthesse pdf formátumban.

A NAIH természetesen kivizsgálta azt is, hogy mi történt. Az incidens kiváltó okát a ROBINSON-TOURS abban jelölte meg, hogy a Next Time Media Ügynökség Kft. által végzett weboldalfejlesztés közben létrejött egy tesztkörnyezet, amely a végső verzióból nem került eltávolításra. Ennek folyományaként a valós, éles adatok a tesztelésre használt adatállományba is bekerültek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet nem került levédésre.

A ROBINSON-TOURS incidensbejelentése alapján a sérülékenység 2019. november 13-tól 2020. február 4-ig állt fent a honlapon keresztül. Az incidenssel érintett adatbázisban kiskorúak adatai is szerepeltek. Az érintettek személyi köre a 2019. november 13. és 2020. február 4. közötti időszakban utazásokat foglaló magyar nemzetiségű utasokat és idegenvezetőket ölelte fel.

A hatóság végzésének kézhezvétele után a ROBINSON-TOURS azonnal jelezte telefonon a fejlesztőnek a sérülékenységet, aki haladéktalanul intézkedett arról, hogy URL-eken keresztül ne lehessen a továbbiakban elérni az éles adatokkal frissülő tesztkörnyezetet. A ROBINSON-TOURS megítélése szerint az adatvédelmi incidenst kiváltó sérülékenység összességében a fejlesztő cég nem körültekintő, gondos eljárásából fakadt.

Később azonban kiderült, hogy az adatbázis védelmével, általánosságban is problémák voltak. Az adatbázishoz összesen 307 utazásközvetítő férhetett hozzá, akik ott azonban adatot bevinni, módosítani nem tudtak. Minden utazásközvetítő csak a saját foglalásaihoz fért hozzá. Az adatbázisba kizárólag a ROBINSON-TOURS  volt jogosult adatokat felvinni.

Az incidenssel érintett adatbázishoz azonban nem volt jogosultság ellenőrzési rendszer kiépítve, ebből fakadt az adatvédelmi incidens bekövetkezése. A ROBINSON-TOURS azóta felhasználónév és jelszó alkalmazását rendelte el a rendszerben, a továbbiakban ezzel hozzáférhető csak az arra felhatalmazott munkatársak részére az adatbázis.

Az incidens kiváltó konkrét folyamat pedig úgy állt össze a ROBINSON-TOURS szerint, hogy a fejlesztés során létrejött tesztkörnyezet és ahhoz tartozó tesztadatbázis – tekintve, hogy a tesztelés nem éles adatokkal történt – nem került levédésre. A tesztelés végén az adatállomány azonban nem került törlésre és kapcsolatban maradt a különálló, immár éles rendszerrel és adatbázissal is.

Az éles rendszerbe ROBINSON-TOURS által bevitt személyes adatok a tesztadatbázisba is átkerültek, mivel a két rendszer között fennmaradt egy adatkapcsolat. A sérülékenységen keresztül az éles adatokkal is folyamatosan frissülő tesztadatbázis volt elérhető. De megismerhetővé vált a két cég közötti szerződés is.

„A szerződés 4. pontja szerint az adatfeldolgozás biztonságának garantálása és a kockázatokkal arányos intézkedések megtétele, valamint ezekben az adatkezelő támogatása az adatfeldolgozó feladata és kötelessége. Az adatfeldolgozó feladata a személyes adatok véletlen vagy jogellenes megsemmisülésének, módosításának, engedély nélküli hozzáférhetővé tételének, vagy azokhoz való engedély nélküli hozzáférésnek a  megakadályozása.

Ennek érdekében köteles a kockázatokkal arányos szervezési és technikai intézkedéseket megtenni. Az adatfeldolgozó az adatokhoz történő illetéktelen személyek általi hozzáférést köteles megakadályozni, ezen kötelezettség szándékos vagy gondatlan megsértéséből eredő kárért felelősséggel tartozik. Adatfeldolgozó köteles folyamatosan figyelemmel kísérni az általa alkalmazott intézkedéseket az adatvédelmi jogi megfelelés érdekében.”

A fejlesztő is együttműködött a hatósággal. A nyilatkozata alapján az incidenssel érintett tesztadatbázis – amelyen keresztül a személyes adatok elérhetővé váltak az interneten keresztül – időközben törlésre került. Az érintett rendszert ezen felül átköltöztette egy zártabb, biztonságosabb rendszerbe. Nyilatkozata alapján korábban a rendszer biztonságát érintő, „autentikációs ellenőrzések” csak a belépési pont körül történtek meg.

Azt kijelentette, hogy az incidenssel érintett weboldal védelme fix, egyébként a „webes világból érkező hírek és napi történések” alapján tájékozódik arról, hogy a védelmi intézkedéseket frissíteni kell-e. A hatóság azon kérdésére, hogy weboldal mögötti foglalási adatbázis teszt verziója miért nem került korábban törlésre, a fejlesztő azt válaszolta, hogy véleménye szerint a törlésnek nincs értelme, mivel bármikor előfordulhat, hogy „valamit fejleszteni kell”, „meg kell oldani valamit” így „soha sincs vége a tesztelésnek”.

Ami az ügy kapcsán lényeges még, hogy a teszt és az éles adatbázis közötti kapcsolódási pont megszüntetésével kapcsolatban a fejlesztő azt nyilatkozta, hogy véleménye szerint az nem lényeges kérdés, mivel a jogosultság ellenőrzés (hiánya) képezte a hiba forrását.

A NAIH megítélése szerint az incidens olyan magas kockázatúnak minősül, amely indokolja, hogy az általános adatvédelmi rendelet szerint arról az érintetteket is tájékoztassák, hiszen az olyan tovagyűrűző következményekkel járhat az érintettek magánéletére nézve, amelyre az adatkezelőnek már nincs ráhatása az általa elvégezhető incidenskezelés során. Az incidens kockázatai csak úgy mérsékelhetők eredményesen, ha az érintettek erről tudomással bírnak, és megtehetik az általuk szükségesnek tartott további intézkedéseket.

A vizsgálat végül azt állapította meg, hogy az adatvédelmi incidenssel érintett rendszerben fennálló sérülékenység abból adódóan valósulhatott meg, hogy a személyes adatok kezelése során nem megfelelő biztonsági beállításokat alkalmaztak az érintett rendszerben az alábbiak szerint. A fejlesztő. a weboldal üzemeltetése során az érintett teszt- és éles adatbázis közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági, sérülékenységi teszteknek.

A tesztadatbázis és már valós adatokkal, ROBINSON-TOURS által feltöltött és használt éles adatbázis között így fennmaradt egy kapcsolódási csatorna, amelyen keresztül az éles adatok folyamatosan, valós időben továbbításra kerültek a tesztadatbázisba. A sérülékeny, éles adatokat tartalmazó tesztadatbázis azért volt elérhető a biztonsági résen keresztül, mivel annak biztonságával a fejlesztő a fejlesztés befejezése után már nem foglalkozott.

Az incidens nem következett volna be, ha a tesztadatbázist a fejlesztő törli, vagy azt biztonságos környezetbe áthelyezi, vagy kapcsolatát az éles adatbázissal megszünteti. Ezek a mulasztások tehát közvetlenül lehetővé tették a személyes adatok elérhetőségét. A tesztadatbázis a fentiek értelmében gyakorlatilag az éles adatbázis sérülékeny másolataként funkcionált, melynek mérete az idő előrehaladtával folyamatosan nőtt. Ez az ügyféladatok duplikálását eredményezte majd három hónapon keresztül. A személyes adatokhoz rendkívül könnyen hozzá lehetett kívülről férni.

ROBINSON-TOURS az általa kínált utazási szolgáltatásokkal összefüggésben kezelt személyes adatokat tároló rendszerét és honlapját a fentiek miatt úgy használta és üzemeltette, hogy ahhoz bárki hozzáférhetett az interneten keresztül egy sérülékenység fennállása miatt. Ezen biztonsági hiányosság miatt az adatok kezelésének bizalmas jellege súlyosan sérült, ami közvetlenül lehetővé tette a magas kockázatú adatvédelmi incidens bekövetkezését.

A lényeget a végére hagytam: a fentiek után kit és milyen mértékben marasztalt az adatvédelmi hatóság. A határozata szerint a ROBINSON-TOURS nem tett eleget a beépített és alapértelmezett adatvédelem elvének, mivel a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ami súlyos, alapelvi szinten jogsértő és nem biztonságos adatkezelési tervezési hiányosságokhoz vezetett. A tervezési, kialakítási hiányosságok közvetlenül lehetővé tették azt, hogy az adatkezelés bizalmas jellegének sérülésével magas kockázatú adatvédelmi incidens következett be.

A ROBINSON-TOURS nem tett eleget az általános adatvédelmi rendelet kötelezettségének, amikor az általa kínált utazási szolgáltatásokkal összefüggésben kezelt személyes adatokat tároló rendszerét és honlapját úgy használta és üzemeltette, hogy ahhoz bárki hozzáférhetett az interneten keresztül egy sérülékenység fennállása miatt. Ezen hiányosság miatt az adatok kezelésének bizalmas jellege súlyosan sérült, ami közvetlenül lehetővé tette a magas kockázatú adatvédelmi incidens bekövetkezését.

Végezetül nem tett eleget az általános adatvédelmi rendelet alapján fennálló tájékoztatási kötelezettségének a bekövetkezett adatvédelmi incidenssel kapcsolatban, amikor nem tájékoztatta a magas kockázatú adatvédelmi incidensről az érintetteket.

A Next Time Media Ügynökség Kft. kapcsán úgy határozott a hatóság, hogy az nem tett eleget az általános adatvédelmi rendeletben foglalt kötelezettségének, amikor az incidenssel érintett adatbázishoz bárki hozzáférhetett az interneten keresztül egy sérülékenység fennállása miatt, így az adatok feldolgozásának bizalmas jellege súlyosan sérült.

Ennek oka, hogy a fejlesztő a weboldal üzemeltetése során az érintett teszt- és éles adatbázisok közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági ellenőrzéseknek, sérülékenységi teszteknek. A mulasztás közvetlenül lehetővé tette a személyes adatok elérhetőségét és így az adatvédelmi incidens bekövetkezését.

A bírság pedig végül úgy oszlott meg, hogy 20.000.000 Ft bírságot kapott az akkor már felszámolás alatt álló ROBINSON-TOURS, míg a Next Time Media Ügynökség Kft-nek 500.000 Ft bírságot kell befizetnie. A két bírság közül talán az első mértéke a meglepő, hiszen a konkrétumok bővebb ismerete nélkül az adatvédelmi incidens talán inkább a Next Time Media Ügynökség Kft. érdekkörén belüli okokból keletkezett.

Ennek ellenére a ROBINSON-TOURS felelőssége mégis kiterjed arra, hogy „a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ami súlyos, alapelvi szinten jogsértő és nem biztonságos adatkezelési tervezési hiányosságokhoz vezetett.” Másrészről pedig arra terjed ki, hogy „rendszerét és honlapját úgy használta és üzemeltette, hogy ahhoz bárki hozzáférhetett az interneten keresztül egy sérülékenység fennállása miatt.”

A fentiek elég jól beárazzák az IT fejlesztés adatvédelmi kockázatait, de úgy tűnik, hogy a megbízói oldal felelőssége is megállapítást nyerhet bizonyos körülmények között, ami attól függetlenül is érdekes marad, hogy egyébként a kötelmek miatt az esetleges adatvédelmi bírság végül kit súlyt leginkább.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

Ajánlott tartalom