ULTIMĂ
ORĂ

BREȘĂ majoră de SECURITATE la Orange: Cum au ajuns FACTURILE clienților pe mâna unor STRĂINI

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a impus companiei Orange România sancțiuni financiare în valoare totală de 523.900 lei, sumă ce echivalează cu 100.000 de euro. Măsura a fost luată după ce o eroare tehnică a permis accesul neautorizat al unor clienți la facturile și datele personale ale altor utilizatori.

​Problema a apărut din cauza unei disfuncționalități de sincronizare între sistemele informatice interconectate ale operatorului, eroare care a cauzat identificarea greșită a conturilor. Investigațiile autorității, finalizate în cursul lunii iunie 2026, au scos la iveală vulnerabilități majore în protecția platformelor gestionate de companie.

„În cadrul investigaţiei, s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în momentul configurării şi utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi. Această situaţie a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria şi numărul cărţii de identitate, seria şi numărul facturii, data emiterii acesteia, fiind astfel încălcate dispoziţiile art. 25 alin. (1) din Regulamentul (UE) 2016/679”, arată ANSPDCP.

​Din cauza acestui incident, date sensibile ale clienților au fost expuse neautorizat. Printre informațiile compromise se numără nume și prenume, adrese de domiciliu, coduri numerice personale, serii și numere de documente de identitate, copii ale acestora, dar și date bancare, coduri IBAN, numere de SIM și adrese de e-mail.

„Această vulnerabilitate a permis un atac informatic asupra securităţii accesului în aplicaţia de ticketing a operatorului, care a condus astfel la accesul neautorizat şi la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranţă, cum ar fi conexiune securizată (VPN), autentificarea în doi paşi (MFA) sau re-stricţionarea accesului pe bază de IP”, se menţionează în comunicat.

​Prima sancțiune, în valoare de 20.000 de euro, a fost aplicată pentru nerespectarea obligației de a implementa măsuri tehnice și organizatorice adecvate în procesul de prelucrare a datelor. A doua sancțiune, de 80.000 de euro, a fost dictată pentru deficiențe în asigurarea confidențialității și securității prelucrării, precum și pentru lipsa testării periodice a eficacității sistemelor de securitate.

​Pe lângă penalitățile financiare, autoritatea a impus companiei obligația de a implementa un proces riguros de monitorizare și testare a tuturor aplicațiilor utilizate. Acest proces trebuie să asigure un control strict asupra oricăror modificări software, cum ar fi actualizările sau schimbările de configurare, pentru a preveni pe viitor vulnerabilitățile care ar putea facilita accesul neautorizat la informațiile personale ale clienților.

Urmărește știrile Obiectiv de Argeș și pe pagina de Facebook, pe grupul Ziar Obiectiv – Știrile Argeșului, pe Google News, pe Tik Tok sau direct pe canalul de WhatsApp

Ziarul-Obiectiv
Abonează-te la știri
Introdu adresa ta de email și primește săptămânal un email cu cele mai importante știri!
© 2024 Ziar Obiectiv.