Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/17

Kraj:

Wielka Brytania

Data wydania decyzji:

13.11.2020 r.

Podmiot kontrolowany:

Ticketmaster UK Limited

Wysokość kary (EUR):

1.405.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Ticketmaster UK Limited miało miejsce w wyniku wprowadzenia złośliwego kodu do chatbota dostarczonego przez firmę Inbenta Technologies Inc. Chatbot ten został umieszczony na stronie płatności Ticketmaster, co umożliwiło atakującym przechwytywanie danych osobowych klientów, w tym danych kart płatniczych.

 

Opis wydarzeń

  1. Okres naruszenia: Naruszenie trwało od 25 maja 2018 r. do 23 czerwca 2018 r., jednak złośliwy kod był aktywny od lutego 2018 r.
  2. Wykrycie naruszenia:
    • W kwietniu 2018 roku Monzo Bank zgłosił Ticketmaster podejrzenie oszustw związanych z transakcjami na ich stronie.
    • W maju 2018 roku inne banki, takie jak Barclays, MasterCard i American Express, również zgłosiły podejrzenia dotyczące oszustw.
    • 6 czerwca 2018 roku Ticketmaster rozszerzył swoje dochodzenie na wszystkie domeny, a 23 czerwca 2018 roku zidentyfikowano złośliwy kod na stronie płatności.
  3. Reakcja Ticketmaster:
    • Po wykryciu naruszenia, Ticketmaster usunął chatbota ze wszystkich swoich stron.
    • Firma powiadomiła klientów i zaoferowała 12-miesięczny monitoring kredytowy dla poszkodowanych.
    • Ticketmaster zresetował hasła dla wszystkich swoich domen.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń: Wdrożenie środków bezpieczeństwa, takich jak regularne testy bezpieczeństwa, szyfrowanie danych oraz monitorowanie zmian w kodzie zewnętrznych dostawców.
  2. Ocena ryzyka: Przed wdrożeniem nowych technologii, takich jak chatboty, należy przeprowadzać szczegółowe oceny ryzyka i zapewnić, że wszystkie komponenty są zgodne z normami bezpieczeństwa.
  3. Szkolenia dla pracowników: Regularne szkolenia z zakresu bezpieczeństwa danych dla pracowników, aby zwiększyć świadomość zagrożeń i sposobów ich unikania.
  4. Współpraca z dostawcami: Upewnienie się, że wszyscy dostawcy usług mają odpowiednie certyfikaty bezpieczeństwa i regularnie przeprowadzają audyty swoich systemów.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO