EasyJet incidens: 9 millió ügyfél adatai kerültek veszélybe

EasyJet incidens: 9 millió ügyfél adatai kerültek veszélybe
by zvarazs

Ahogy a Guardian megírta, az EasyJet egy „különösen kifinomult” kibertámadásnak köszönhetően adatvédelmi incidens áldozatul esett, amelynek eredményeképpen több mint 9 millió ügyfelük adataihoz férhettek hozzá ismeretlen tettesek.

A támadás részleteiről egyelőre nem áll rendelkezésre túl sok információ, azonban annyit már tudni lehet, hogy 2.208 esetben az ügyfelek banki információihoz is hozzáfértek a támadók. Az ellopott információk között találhatók még utazási adatok, indulási/érkezési időpontok és helyek, illetve egyéb kapcsolattartási adatok, amelyek a foglalás közben felhasználásra kerültek. A fenti esetet vizsgálja az Egyesült Királyság Információs Biztosi Hivatala (ICO), és amennyiben megállapítják a GDPR megszegését, az EasyJet jókora bírságra számíthat.

Kérdéses a cég eljárásának jogszerűsége ügyfeleinek értesítésével kapcsolatban is. A BBC információi szerint az EasyJet ügyfeleit két külön hullámban értesítették. Először azoknak az ügyfeleknek küldtek e-mailt, akiknek a bankkártya-adatait tulajdonították el, ez április elején történt. Majdnem két hónappal később, május 26-án került csak sor az összes többi ügyfél értesítésére. Az EasyJet tájékoztatása sok ügyfélnek már későn jöhetett, hiszen a cég már januárban tudott az esetről.

A GDPR 5. cikkének (1) bekezdés f) pontja szerint „a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (integritás és bizalmas jelleg)”.

A 32. cikk továbbá világosan fogalmaz az adatkezelés biztonságáról: „az adatkezelő […] megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.”

Ahogy korábban már említettük, az EasyJet csak többhónapos késéssel hozta ügyfelei tudomására adataik elvesztését. A GDPR 34. cikkének (1) bekezdése szerint „aa az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről”.

Bár nem szükséges minden esetben tájékoztatni az érintetteket, az adatkezelőnek eseti alapon kell megállapítania a kockázatot, és annak megfelelően cselekednie. Mivel ebben az esetben az érintettek „érzékeny” adatairól is szó volt, az incidens járhat személyazonosság ellopásával, vagy anyagi kárral. A GDPR nem ad meg konkrét határidőt ilyen esetben, viszont kötelezi az adatkezelőt, hogy „indokolatlan késedelem nélkül” tájékoztassa az érintettet. Tekintettel arra, hogy két hullámban tájékoztatták az érintetteket, nehéz lesz megindokolni, hogy a második körre miért csak 2 hónappal később került sor.

Ahogy az előbb említettük, megalapozottnak tűnik, hogy az EasyJet vétett a GDPR 5., 32., és 34. cikke ellen. Amennyiben ez bizonyítást nyer, az ICO akár az éves bevétel 4%-ának megfelelő mértékű bírságot szabhat ki a cégre.

Május 22-én egy egyesült királyságbeli ügyvédi iroda, a PGMBM keresetet nyújtott be a londoni bírósághoz az incidens kapcsán, amelyben maximális összegű kártérítésért perelnek az ügyfelek nevében. Ez egy csoportos kártérítési per, amely annyiban különbözik az amerikai típustól, hogy ebben az esetben sokkal nagyobb az esélye, hogy az ügyet lassíthatják egyéb keresetek. Ez a fajta kompenzációs eljárás egyébként egyre népszerűbb, ahogy egyre több kibertámadásos eset kerül a hatóságok elé.

Nem az EasyJet az első légitársaság, akinek az adatbiztonság nem megfelelő szintje miatt problémája akad az angol adatvédelmi hatósággal. Korábban a British Airways ügyfeleivel történt hasonló. Akkor körülbelül félmillió felhasználó adataihoz fértek hozzá, azonban ezek közül 380.000 tartalmazott fizetési információkat is. A két eset abban is különbözik, hogy a British Airways azonnal tájékoztatta az ügyfeleit. Az ICO akkor 183 millió GBP összegű bírság kiszabását helyezte kilátásba.

Nem kétséges, hogy ennek hatása lesz az EasyJet ellen indított eljárásra is. Az ICO szóvivője megerősítette, hogy eljárás van folyamatban az EasyJet ellen, és felhívta a figyelmet, hogy az érintett ügyfelek legyenek a szokásosnál is óvatosabbak adataikkal, ne dőljenek be semmilyen átverésnek, melyben ellopott adataik érintettek lehetnek. Az ICO ezzel kapcsolatban egy tájékoztatást is közzétett honlapján, hogy ezzel is segítse a károsultak adatainak védelmét.

Forrás: GDPR.news.hu