Actualizat în 6 Aug, 2021.

Este vorba de prima amendă de acest tip și a fost primită de o companie din Saxonia Inferioară – Germania. Amenda este de 65.500 de euro și s-a acordat pentru încălcarea reglementărilor art. 25 și art. 32 din GDPR.

Se dovedește astfel încă o dată că aspectele tehnice joacă un rol decisiv în problema protecției adecvate a datelor cu caracter personal deținute de  companii. În special, trebuie luat în considerare stadiul actual al tehnicii pentru determinarea măsurilor tehnice și organizatorice adecvate.

Compania rulează în producție un site web de comerț electronic dezvoltat pe platforma XT:COMMERCE  – versiunea 3.0.4 SP2.1, versiune care nu mai este actualizată de către producător din 2014. Chiar producătorul a avertizat în mod explicit împotriva continuării utilizării versiunii 3 a software-ului său în producție. Fundalul avertismentului a fost vulnerabilități semnificative de securitate care au făcut posibile atacurile de injecție SQL. Ultima versiune XT:COMMERCE este 6 și nu este expusă acestui risc.

Investigațiile efectuate de autoritatea din Saxonia Inferioară au arătat că parolele stocate în baza de date au fost „securizate cu funcția hash criptografică MD5” fără a folosi SALT. MD5 nu este conceput pentru a fi utilizat și in cazul parolelor însă în anumite condiții prin utilizarea SALT poate face asta. În criptografie, SALT este un șir aleatoriu pe care îl adăugați la un cuvânt de intrare, pentru a genera un hash diferit decât hash-ul generat de cuvântul singur.

Datorită precauțiilor de securitate inadecvate, în cazul de față a fost posibil să se determine parolele cu text simplu și apoi să încerce vectorii de atac suplimentari cu efort gestionabil. Implementarea unei funcții SALT și a unui algoritm hash actualizat conceput pentru parole ar fi fost posibilă pentru companie, mai ales dacă această funcționalitate este implementată cu versiuni mai noi ale software-ului XT:COMMERCE.

La evaluarea incidentului, autoritatea a ajuns la concluzia că măsurile tehnice luate de operator nu îndeplineau cerințele de protecție ale GDPR, astfel încât a existat o încălcare a articolului 32 GDPR.

A fost impusă apoi o amendă de 65.500 de euro, pe care compania a acceptat-o. În favoarea companiei, s-a luat în considerare faptul că aceasta a informat deja persoanele în cauză că este necesară o schimbare a parolei înainte de procedura de amendare.

Aici găsiți o listă de aplicații vulnerabile la atacurile de injecție SQL.

Dacă doriți să verificați statusul site-ul dvs. din punct de vedere GDPR puteți oricând comanda un Audit GDPR pentru site-uri.

Nu ştiţi dacă site-ul dumneavoastră îndeplineşte normele GDPR? Specialiştii noştri vă stau la dispoziție pentru realizarea unui audit.