Autoritatea pentru Protecția Datelor Personale demarează o investigație, după breșa de securitate de la OTP Leasing

OTP Leasing a notificat în data de 10 mai Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu privire la încălcarea securității datelor, iar instituția a demarat o investigație în privința incidentului reclamat. O sesizare similară a fost făcută și în data de 2 iunie de către o persoană fizică, mai transmite instituția, fără a preciza identitatea acesteia.

„Urmare a notificării anterior menționate, Autoritatea națională de supraveghere a declanșat o investigație cu privire la cele notificate, investigația fiind în prezent în derulare”, arată aceasta.

Potrivit autorității, de la momentul primirii notificării inițiale și până în prezent nu au fost primite plângeri referitoare la încălcarea menționată.

Cum a apărut problema

Investigația vine după ce Cristian Iosub, cercetător în domeniul securității cibernetice, a scris pe blogul său că a semnalat în mai multe rânduri către OTP Leasing existența unei breșe de securitate în platforma sa online.

Iosub a scris că putea edita sau șterge datele clienților, de la persoane cu un singur autoturism, până la clienți cu flote auto sau echipamente industriale luate în leasing.

Conform postării sale, el avea drept de administrator online și avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”. 

Recomandări

Cazul Ferma Dacilor. Un an de la focul devastator care a omorât opt oameni. Laboratorul de expertize criminalistice a identificat cauzele incendiului

Autoritățile trebuie notificate în trei zile

Conform Autorității pentru Protecția Datelor, în cazul încălcării securității datelor operatorii trebuie să notifice autoritatea în cel mult 72 de ore de la data la care a luat cunoștință de ea, cu excepția cazului în care este posibil să genereze un risc pentru drepturile și libertățile persoanelor. 

În cazul în care notificarea nu are loc în trei zile, aceasta trebuie însoțită de motivare a întârzierii.

OTP Leasing spune că nu au fost afectate datele și a făcut plângere penală

Într-un răspuns pentru Libertatea, OTP Leasing a afirmat că baza de date nu a fost afectată, iar incidentul a fost remediat „în doar câteva ore după primirea primului indiciu relevant de  accesare neautorizată a datelor”.

De asemenea, OTP Leasing a afirmat că a depus plângere penală împotriva lui Iosub și a sesizat autoritățile.

Autoritatea pentru Protecția Datelor Personale spune că, potrivit GDPR – regulamentul european privind protecția datelor – „operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc”.

Cele mai mari amenzi date în România

Recomandări

Edith Alibec, despre ce înseamnă să fii actriță independentă: „M-am apucat să fac proiectul și am început să bat la uși”

Conform legislației privind protecția datelor, sancțiunile maxime pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri a anului anterior, oricare din cele două ar fi mai mare.

Potrivit Autorității pentru Protecția Datelor, cele mai mari amenzi date până acum în România pentru nerespectarea protecției datelor au fost:

– Raiffeisen Bank – 150.000 de euro

– Unicredit Bank – 130.000 de euro

– Banca Transilvania – 100.000 de euro

– ING Bank – 80.000 de euro

– Vreau Credit SRL – 20.000 de euro.

DISCLAIMER: Cristian Iosub, cel care a scris despre breșa de securitate, lucrează ca manager de produs la Ringier România, fără atribuții în zona editorială.

Urmărește-ne pe Google News

Ați sesizat o eroare într-un articol din Libertatea? Ne puteți scrie pe adresa de email eroare@libertatea.ro