Nyilvánosan elérhetők voltak az utazók adatai

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Robinson Tours utazási iroda több ezer személyes adatot tartalmazó adatbázisa nyilvánosan hozzáférhető volt az interneten. A NAIH húszmillióra bírságolta a céget.

A NAIH-hoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a „ROBINSON-TOURS” által üzemeltetett https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára elérhetőek Ügyfél 1. természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással valamint a szerződéskötéssel kapcsolatos adatok. Az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentés szerint erre a bejelentő úgy jött rá, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.

A linkeken keresztül megtekinthető táblázat összesen 375 rekordot tartalmazott. Ezek között voltak valószínűsíthetően fiktív személyek is, azonban többségük létező természetes személy ügyfeleket takart. Az útitársak száma és neve alapján ennél azonban sokkal több, ezer feletti személy adatai is elérhetőek voltak a honlapon keresztül.

A linkeken keresztül elérhető adatbázisból lehetőség volt arra is, hogy az egyes ügyfelekkel kötött utazási szerződéseket bárki szabadon letölthesse pdf formátumban. Az egyes szerződések közül a Hatóság eljáró ügyintézője bizonyítékul letöltött öt darabot, valamint egy e-mail-es foglalási igazolást is. A letölthető szerződések részletesen tartalmazták valamennyi szerződő utas személyes adatait, az úticélt, az utazás dátumát, a lefoglalt szállás adatait és a szolgáltatás bruttó
árát személyekre bontva.

Az incidensbejelentés és a végzésre adott válaszok alapján „ROBINSON-TOURS”úgy nyilatkozott, hogy az említett linkeken keresztül valóban utazási irodai szolgáltatásait igénybe vevő ügyfelei adatai voltak elérhetőek. „ROBINSON-TOURS” az adatok rögzítésének célját az egyes utazásokat lefoglaló, valamint a ténylegesen utazó érintettek azonosításában jelölte meg, amelyre azért van szüksége, hogy az érintett és „ROBINSON-TOURS” között létrejövő megállapodásokat vissza tudja keresni és a teljesítés kapcsán fel tudja venni az érintettekkel a kapcsolatot. Az adatbázishoz kizárólag olyan „ROBINSON-TOURS”-szal szerződött partnerek képviselői léphettek be, akikkel a „ROBINSON-TOURS”-nak érvényes szerződése volt.

A ROBINSON-TOURS” tájékoztatása szerint az incidenssel érintett adatbázishoz hozzáférő szerződéses partnerek utazásközvetítői szerződést aláíró utazásközvetítők voltak. A velük kötött szerződés mintáját Ügyfél 1. csatolta válaszához. Az adatbázishoz összesen 307 utazásközvetítő férhetett hozzá, akik ott azonban adatot bevinni, módosítani nem tudtak. Minden utazásközvetítő csak a saját foglalásaihoz fért hozzá. Az adatbázisba kizárólag a „ROBINSON-TOURS” volt jogosult adatokat felvinni.

A „ROBINSON-TOURS” tájékoztatta a NAIH-ot, hogy az incidenssel érintett adatbázishoz nem volt jogosultságellenőrzési rendszer kiépítve, ebből fakadt az adatvédelmi incidens bekövetkezése. A „ROBINSON-TOURS” azonban azóta felhasználónév és jelszó alkalmazását rendelte el a rendszerben, a továbbiakban ezzel hozzáférhető csak az arra felhatalmazott munkatársak részére az adatbázis.

A „ROBINSON-TOURS” ismertette, hogy a sérülékenység fennállásának időszakában összesen két IP címről történt külső, jogosulatlan hozzáférés 28 darab foglalás összesen 30 db dokumentumához, négy alkalommal. Kimutatható adatvédelmi incidens így ténylegesen ezen alkalmakkal kapcsolatban valósult meg.

A „ROBINSON-TOURS” kifejtette, hogy a fejlesztés során létrejött tesztkörnyezet és ahhoz tartozó tesztadatbázis – tekintve, hogy a tesztelés nem éles adatokkal történt – nem került levédésre. A tesztelés végén az adatállomány azonban nem került törlésre és kapcsolatban maradt a különálló, immár éles rendszerrel és adatbázissal is. Az éles rendszerbe a” ROBINSON-TOURS” által bevitt személyes adatok a tesztadatbázisba is átkerültek, mivel a két rendszer között fennmaradt egy adatkapcsolat. A sérülékenységen keresztül az éles adatokkal is folyamatosan frissülő tesztadatbázis volt elérhető.

A sérülékenységen keresztül elérhető adatbázisban összesen 309 darab utazási szerződéshez lehetett hozzáférni. Ezek a korábbiakban ismertetett szerint összesen 781 érintett, összesen kb. 2506 darab személyes adatát tartalmazták. Az érintettek közül összesen 46 volt gyermekkorú (18 éven aluli).

Az adatvédelmi incidenst kiváltó sérülékenységről a „ROBINSON-TOURS” saját elmondása szerint először a NAIH tényállástisztázó végzéséből 2020. február 4-én szerzett tudomást.

A NAIH döntése

Az általános adatvédelmi rendelet 4. cikk 12. pontja alapján adatvédelmi incidensnek minősül a biztonság sérülése, amely a kezelt személyes adatokhoz való jogosulatlan hozzáférést eredményezi.

A „ROBINSON-TOURS” által fenntartott honlapon keresztül elérhető sérülékenység kihasználásával volt tehát lehetőség az érintetti adatokhoz való hozzáféréshez. A személyes adatok jogosulatlan megismerésére tehát egy informatikai biztonsági hiányosság kihasználásával kerülhetett sor, amely így több esetben is adatvédelmi incidenst eredményezett.

A GDPR (75) preamubulum bekezdése az olyan adatok kezelését, amelyekből személyiség-lopás, vagy személyazonossággal való visszaélés fakadhat, továbbá
kiemelten a gyermekek adatainak kezelését az érintett személyek jogaira és szabadságaira nézve alapvetően kockázatos adatkezelésnek tekinti. A Hatóság azt is kiemeli, hogy az utazási szerződésekben található adatokból, így az utazás idejéből, céljából, továbbá a szerződés értékéből további következtetések vonhatóak le az adott utas anyagi körülményeire nézve is. Ezen felül a szintén elérhető lakcímadatokkal összevetve az érintett otthontartózkodására is következtetést lehet levonni. Ezen adatok együttes kezelése összevetve az incidens körülményeivel a Hatóság megítélése szerint magas kockázatú adatvédelmi incidenst eredményezett.

A NAIH szintén a magas kockázatot megalapozó körülményként értékeli, hogy az adatbázishoz mind a közérdekű bejelentő, mind a NAIH hozzáfért, viszont az illetéktelen hozzáférések teljes száma és a hozzáférők személye a sérülékenység idejére vonatkozó teljes naplóállomány hiányában nem mérhető pontosan fel.

A magas kockázatot megalapozó további körülmények, hogy az adatbázisban kezelt személyes adatokat a Google is indexálta, azok ezen keresőmotoron
keresztül is elérhetőek voltak, így azokra sokkal könnyebben rá lehetett akár egyszerű internetes böngészés, névre történő találomra való rákeresés során is bukkanni.

Az adatkezelőnek az érintetteket indokolatlan késedelem nélkül kell tájékoztatnia az incidensről, amint a tudomására jutott az általános adatvédelmi rendelet 34. cikke alapján, nem várhat a hatósági eljárás lezárulásáig.

A fentiek alapján a NAIH megállapítja, hogy a „ROBINSON-TOURS” tájékoztatás hiányával, elodázásával nem tett eleget az általános adatvédelmi rendelet 34. cikk (1) bekezdésében foglaltaknak, ezért a GDPR 34. cikk (4) bekezdésére tekintettel felszólította a „ROBINSON-TOURS”-t arra, hogy az érintetteket tájékoztassa a magas kockázatú adatvédelmi incidensről.

A NAIH megvizsgálta azt is, hogy a „ROBINSON-TOURS”,  mint adatkezelő és az adatfeldolgozó, mennyiben tettek eleget az incidens bekövetkezésével közvetlenül összefüggő adatbiztonsági követelményeknek a már működő rendszer tekintetében.

A GDPR 32. cikk (1) bekezdésében foglaltak alapján az adatkezelőnek és az adatfeldolgozónak a kockázat mértékének megfelelő szintű adatbiztonság garantálása
érdekében a tudomány és technológia állásának megfelelő technikai és szervezési intézkedéseket kell végrehajtania, ide értve a GDPR 32. cikk (1) bekezdés b) pontja alapján a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét.

Az informatikai rendszert működtető adatfeldolgozó a weboldal üzemeltetése során az érintett teszt- és éles adatbázis közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági, sérülékenységi teszteknek. A tesztadatbázis és már valós adatokkal Ügyfél 1. által feltöltött és használt éles adatbázis között így fennmaradt egy kapcsolódási csatorna, amelyen keresztül az éles adatok folyamatosan, valós időben továbbításra kerültek a tesztadatbázisba.

A sérülékeny, éles adatokat tartalmazó tesztadatbázis azért volt elérhető a biztonsági résen keresztül, mivel annak biztonságával adatfeldolgozó a fejlesztés befejezése után már nem foglalkozott. Az incidens nem következett volna be, ha a tesztadatbázist az adatfeldolgozó törli, vagy azt biztonságos környezetbe áthelyezi, vagy kapcsolatát az éles adatbázissal megszünteti. Ezek a mulasztások tehát közvetlenül lehetővé tették a személyes adatok elérhetőségét.

A NAIH a fentiekre tekintettel megállapította, hogy a „ROBINSON-TOURS” és adatfeldolgozója megsértették a GDPR 32. cikk (1) bekezdésének b) pontját, mivel a szolgáltatás futása során annak bizalmas jellegét sem az adatkezelés, sem az adatfeldolgozás során nem tudták garantálni.

A GDPR 25. cikk (1)-(2) bekezdései tartalmazzák a beépített és alapértelmezett adatvédelem elvét, amely szerint az adatkezelés kockázatainak
figyelembevételével olyan megfelelő technikai és szervezési intézkedéseket kell az adatkezelőnek végrehajtania az adatkezelés módjának meghatározásakor, amelyek célja az adatvédelmi elvek hatékony megvalósítása. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

Az adatfeldolgozó az incidenssel érintett adatkezelés bizalmasságának garantálása kapcsán kifejtette, hogy az általa fejlesztett rendszer egészét a fejlesztés során nem tesztelte, nem vizsgálta biztonsági szempontból, csupán „a belépési pont körül” végzett ellenőrzéseket, az incidenshez vezető hibát így korábban nem észlelhette. Az adatfeldolgozó továbbá a lefolytatott ellenőrzésekről sem rendelkezik jegyzőkönyvekkel, amelyekkel megtörténtüket bizonyítani tudná. A „ROBINSON-TOURS” megbízása keretei között az adatfeldolgozó tehát elmulasztotta elvégezni a weboldal és a rendszer megtervezése és kifejlesztése során azon biztonsági teszteket, illetve más intézkedéseket, amelyekkel a sérülékenységhez vezető okok kiszűrhetőek vagy megszüntethetőek lettek volna.

Az adatkezelés meghatározásakor, így jelen esetben a weboldal és kapcsolódó informatikai infrastruktúra megtervezése és kifejlesztésekor alkalmazott intézkedések nem voltak elegendőek ahhoz, hogy az általános adatvédelmi rendelet 25. cikkének megfelelően az adatkezelés bizalmas jellegét biztosítsák. Ennek köszönhetően később, a weboldalon keresztül a személyes adatok hozzáférhetővé váltak meghatározatlan számú személy számára.

A fentiekre tekintettel a NAIH 20.000.000,- Ft adatvédelmi bírságot szabott ki a „ROBINSON-TOURS”-ra, illetve 200.000,- Ft az adatfeldolgozóra.

(naih.hu)

---