sursa foto: news.ro
FactualSpot

Telekom România nu acționează în privința vulnerabilităților de securitate a datelor cu caracter personal

0

Telekom Romania Communications S.A. prezintă vulnerabilități de tip Sensitive Data Exposure pe site-ul telekom.ro ce includ divulgarea datelor cu caracter personal, de la nume, prenume, numărul de telefon, adresa email până la adresa de facturare/domiciliu. Aceste probleme sunt cauzate de proiectarea greșită a sistemelor de securitate a aplicațiilor Line-of-Business disponibile în cadrul operatorului.

Potrivit blogului  lui Cristian Iosub, un specialist în IT Project Management, vulnerabilitățile site-ului celor de la Telekom se manifestă prin mai multe surse. În primul rând, pe subdomeniul agenthelp unde sunt publicate scurtături către aplicații interne Telekom, folosite de către Call Center, cei care accesează materialele de training au acces la capturi de ecran ce conțin numele abonaților, numărul de telefon și adresa de facturare și/sau domiciliu.

Publicarea neprotejata a facturilor abonaților este o a doua sursă de divulgare neregulamentară a datelor cu caracter personal.Această vulnerabilitate se manifestă pe subdomeniul generare-factura. Facturile sunt disponibile în mod public, fără să fie solicitat accesul autorizat, nici măcar o parolă.

Ce este mai grav și face situația mai complicată pentru remediere, ne spune Cristian Iosub, este faptul că că datele sunt indexate în motoarele de cautare(Google, Bing), Alexa și alte instrumente la care oricine poate avea acces fără efort. Totuși, potrivit acestuia, numărul de rezultate de acest gen a scăzut de la o zi la alta, ceea ce înseamnă că cineva a început procedura de ștergere a datelor, cel puțin din Google.

Una dintre cele mai importante vulnerabilități identificate pe site-ul telekom.ro este  modalitatea de confirmare a unei comenzi plasate, prin transmiterea unui email numit “Confirmare plasare comandã” ce conține o informație importantă: numărul comenzii și un link de unde poți urmări statusul comenzii plasate.  ID-ul de comandă ce se regăsește în email coincide cu ID-ul de comandă ce apare la click pe Istoric Comenzi. Astfel, incrementând ID-ul pot fi descoperite comenzi ale altor clienți, ce conțin înregistrările personale ale clienților Telekom, precum numele complet, adresa de facturare completă, email personal, numărul de telefon precum și detaliile comenzii.

Programul CERT-RO de Divulgare Coordonată a Vulnerabilităților- CVD

Divulgarea coordonată și responsabilă a vulnerabilităților este forma de cooperare dintre deținătorii sau producatorii de servicii, sisteme și programe informatice și raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producatori și cercetatori în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate, arată Cristian Iosub pe blogul său.

În situația în care este identificată o vulnerabilitate ce poate reprezenta un risc din punct de vedere al securității cibernetice, raportorul are posibilitatea de a contacta CERT-RO. Mai departe operatorul (administratorul site-ului) este contactat de către CERT-RO și îi este indicat să elimine vulnerabilitățile înainte de a putea fi exploatate de către publicul larg.

Ei bine,operatorul Telekom România a fost notificat în perioada 19-25 Iulie 2019 despre aceste vulnerabilități oferindu-i-se un termen de remediere de 30 de zile. Până la momentul actual, accesul la subdomeniul agenthelp.telekom.ro a fost limitat însă pot fi folosite în continuare diverse motoare de căutare pentru a identifica facturi ce conțin datele a mii de abonați Telekom.

Încălcarea regulamentului GDPR

Potrivit Tudor Galoș. EU Privacy Consultant, operatorul a creat premisa divulgării neautorizate și a accesului neautorizat la datele cu caracter personal, nerespectând unul dintre cele mai importante principii GDPR: principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date prevede la art.5 litera (f) faptul că „Datele cu caracter personal sunt prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”). ”

Și aceste prevederi legislative obligatorii la nivel european sunt încălcate de Telekom care potrivit alin(2) din același articol este responsabil de respectarea lor.

Deși operatorul a fost notificat de această breșă de securitate, nu a luat măsurile tehnice și organizaționale necesare pentru a limita accesul neautorizat la datele cu caracter personal. De asemenea operatorul este obligat potrivit art.33 din regulamentul mai sus precizat, să notifice încălcarea securității datelor cu caracter personal autorității de supraveghere competente dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta și potrivit art.34 să informeze persoana a căror date au fost vizate de încălcarea condițiilor de securitate, fără întârzieri nejustificate. Mai departe persoana vizată poate exercita dreptul de a primi despăgubiri menționat la articolul 82.

ALDE va ieși de la guvernare pentru a reveni cu o nouă coaliție. T Băsescu: „Ponta nu îl va transporta gratis în Guvern pe Tăriceanu și gruparea lui de baroni parlamentari”

Articolul precedent

ALDE a anunțat oficial ieșirea de la guvernare. Ce urmează? Explicații juridice

Articolul următor

Articole asemănătoare

Comentarii

Scrie un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Mai multe din Factual