Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

NTT DATA Romania – 25,000 euro sancțiune pentru neprotejarea datelor personale

NTT DATA România a primit o amendă de 25.000 de euro pentru încălcarea prevederilor GDPR, sancțiunea fiind aplicată pentru lipsa unei protecții adecvate a datelor personale ale utilizatorilor.

Datele au fost expuse în urma unui atac ransomware desfășurat anul trecut și revendicat de gruparea de hackeri RansomHub, aceeași care a criptat și sistemele Primăriei Sectorului 5 în Octombrie.

Compania este parte a NTT DATA Corporation, o multinațională japoneză din domeniul tehnologiei informației cu sediul în Tokyo, și subsidiară a Nippon Telegraph and Telephone.

Contextul atacului ransomware

În luna iunie a anului 2024, NTT DATA România a devenit ținta unui atac ransomware orchestrat de gruparea RansomHub. Rezultatul incidentului a fost expunerea unei game largi de date protejate prin Regulamentul General privind Protecția Datelor (GDPR), transpus în legislația românească.

Hackerii au declarat că au reușit să exfiltreze un volum de 230 GB de informații, punând în pericol datele personale ale numeroși indivizi.

Gruparea ransomware RansomHub a revendicat incidentul și, sub amenințarea publicării datelor, a impus un termen-limită de plată a unei răscumpărări până la 5 iulie 2024.

Compania nu a cedat presiunilor, astfel că atacatorii au expus date personale precum:

  • nume și prenume
  • adrese și numere de telefon
  • adrese de e-mail
  • identificatori unici precum CNP-uri și copii ale actelor de identitate

Conform unui comunicat al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), lista completă de informații cu caracter personal gestionată de NTT DATA România și expusă prin atacul RansomHub include și naționalitatea, copii ale actelor de identitate și documente oficiale (certificate de căsătorie, pașapoarte, certificate de naștere).

Alte tipuri de date expuse cuprind informații privind ocuparea forței de muncă și detalii financiare (facturi, contracte, planuri de buget), informații educaționale (înregistrări ale unor cursuri de formare, participarea la cursuri de formare, CV-uri, diplome de studii), precum și date sensibile privind sănătatea angajaților.

Bazele sancțiunii ANSPDCP

Investigația demarată de ANSPDCP a fost inițiată după ce NTT DATA România a notificat autoritatea cu privire la o încălcare a securității datelor cu caracter personal, conform art. 33 din GDPR.

Această notificare a semnalat accesul neautorizat la infrastructura informatică a companiei, rezultând în exfiltrarea datelor sensibile ale unui număr semnificativ de persoane vizate.

ANSPDCP a constatat nerespectarea articolelor din GDPR privind lipsa măsurilor tehnice și organizatorice adecvate pentru asigurarea securității datelor (32 alineatul 1, literele b și d, și alineatul 2), și întârzierea notificării către autoritate în termen de 72 de ore de la descoperirea incidentului (articolul 33 alineatul 1).

Rezultatul constatărilor este aplicarea sancțiunii de 25.000 de euro (124.432,50 lei) și un avertisment pentru nerespectarea obligațiilor GDPR menționate anterior.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna