500 millió forint adatvédelmi bírság a Ticketmaster jegyértékesítőre az ügyfelek fizetési adatait érintő megfelelő adatbiztonság elmulasztásáért

1,25 millió font (500 millió forint) bírságot szabott ki a brit adatvédelmi hatóság a Ticketmaster jegyértékesítőre az ügyfelek fizetési adatait érintő megfelelő adatbiztonság elmulasztásáért

A brit adatvédelmi hatóság (ICO) vizsgálata megállapította, hogy a Ticketmaster jegyértékesítő vállalat nem vezetett be megfelelő biztonsági intézkedéseket annak érdekében, hogy megelőzze az online fizetési oldalán alkalmazott, a Ticketmasterrel szerződött Inbenta által üzemeltetetett chat-bot ellen intézett kibertámadást.

I. Eset ismertetése

Az ICO vizsgálata feltárta, hogy a Ticketmaster online fizetési oldalán alkalmazott, Inbenta chat-bot biztosított lehetőséget a támadó számára, hogy hozzáférjen az ügyfelek pénzügyi adataihoz. Az ICO megállapításai szerint a Ticketmaster elmulasztotta az online fizetési oldalán alkalmazott chat-bot használatát megelőző kockázatértékelést, így a kockázatokat csökkentő biztonsági intézkedések azonosítását és bevezetését, valamint a feltételezetten rosszindulatú támadás megfelelő időben történő azonosítását.

2018. februárjában a Ticketmaster felé a Monzo Bank ügyfelei csalás gyanús tranzakciókat, majd más szervezetek (Barclaycard, Mastercard, American Express, Commonwealth Bank of Australia) is erre utaló körülményeket jelentettek, azonban a jegyértékesítő nem azonosította a problémát. A jogsértés közel 9,4 millió európai, köztük 1,5 millió brit Ticketmaster ügyfél személyes adatait (név, fizetési adatok, kártyaadatok: kártyaszám, lejárati szám), valamint 60 ezer Barclays Bank ügyfél kártyáját érintette, továbbá 6 ezer kártya cseréjét igényelte. A Ticketmaster csak 2018. június 23-án küldött értesítést az ICO részére a támadásról, majd 2018. június 27-28. napjain értesítette az összes érintettet – vagyis mindazt a 9,4 millió ügyfelet, aki jegyet vásárolt, vagy próbált vásárolni 2018. februárja és 2018. június 23. között – arról, hogy a támadás érinthette őket is.

Az ICO megállapítása, hogy az adatkezelő a Ticketmaster volt, aki meghatározta a személyes adatok kezelésének célját és eszközeit, továbbá, hogy az ügyfelek személyes adatainak megfelelő biztonságát garantáló intézkedések elmulasztása a GDPR 5. cikk (1) bekezdés f) pontjában foglalt integritás és bizalmas jelleg elvének, valamint a 32. cikkben foglalt az adatkezelés biztonságát előíró rendelkezések megsértését jelenti.

II. Chat-bot

A Ticketmaster szerződést kötött az Inbenta Technologies vállalattal chat-bot szolgáltatás nyújtására a Ticketmaster weboldalain. A chat-bot, működése során, értelmezte a felhasználók kérdéseit, majd automatizáltan azonosított segítséget nyújtó cikkeket, információkat. Az automatizált folyamatot egy a kérdéseket elemző kód működtette, chat-bot JavaScript kódja az Inbenta szerverén működött. A Ticketmaster ezt a chat-bot funkciót alkalmazta számos oldalán, beleértve a fizetési oldalait is. A támadó az Inbenta szervereit célozta és a chat-bot JavaScript kódját módosította. A rosszindulatú kód a felhasználók által megadott adatokat szerezte meg, vagyis a támadóhoz való visszaküldés céljából gyűjtötte azokat. Mivel ez az adatgyűjtés a Ticketmaster fizetési oldalain történt, így a gyűjtött személyes adatok között szerpeltek nevek, fizetési és kártyaszámok, kártya lejárati dátumok és CVV számok.

Végül a Ticketmaster döntését követően 2018. június 24-én a chat-bot leállításra került.

III. Jogsértések ismertetése

Az ICO megállapításai szerint a Ticketmaster nem felelt meg a GDPR 5. cikk (1) bekezdés f) pontjában, valamint a 32. cikkben foglalt előírásoknak, miszerint az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

A hatóság kiemeli, hogy nem minden esetben jelenti a fent említett 5. cikk (1) bekezdés f) pontja és 32. cikk szerinti jogsértést a személyes adatokhozó való jogosulatlan hozzáférés, vagy azok károsodása. Fontos tényezők a vizsgálat során az adatkezelő által ismert kockázatok, az említett cikkeket érintő, bevezetett megfelelő és arányos intézkedések. Az ICO azonosította az incidenst megelőzően meglévő intézkedéseket, azonban nem tartotta elegendőnek azokat a körülményekre tekintettel, azzal, hogy Ticketmaster számára végig nyitva állt annak lehetősége, hogy fizetési oldalán egyáltalán ne alkalmazza a harmadik fél által üzemeltetett chat-bot funkciót.

A harmadik féltől származó JavaScript kódok weboldalra vagy chat-botba történő beültetése régóta ismert biztonsági kockázat, az ilyen script személyes adatokat, így fizetési adatokat kezelő weboldalra, chat-botba történő beültetése pedig még jelentősebb kockázatokat hordoz. Számos publikáció mutatta be a harmadik féltől származó script-ek kockázatát a kiberbiztonság és a kártyás fizetések biztonsága területén, ezek a publikációk előre jelezték az ilyen harmadik fél script alkalmazásával járó kockázatokat.

Mindezek ismeretében a vállalatnak fel kellett volna ismernie a fizetési oldalán megadott személyes adatokat célzó támadás bekövetkezésének valószínűségét és súlyosságát. A Ticketmaster a GDPR 5. cikk (1) bekezdés f) pontjában előírtaknak nem felelt meg, az adatok kezelése során nem alkalmazott megfelelő technikai vagy szervezési intézkedéseket annak érdekében, hogy biztosítva legyen a személyes adatok megfelelő biztonsága..

A GDPR a szervezetek számára nem tiltja meg a harmadik féltől származó script alkalmazását, azonban előírja az alkalmazást megelőzően a körülményeknek megfelelő kockázatértékelést, valamint a kezelt adatok biztonságát garantáló intézkedések bevezetését. E tekintetben a Ticketmaster az incidens bekövetkezésekor sem rendelkezett kellő ismeretekkel a fizetési oldalán alkalmazott harmadik fél script-eket érintő kockázatokról, annak ellenére, hogy annak számos kockázata széleskörűen dokumentálásra került és elérhető volt. Összefoglalóan a Ticketmaster nem bizonyította, hogy a kockázatok kezelésének megfelelő és arányos kontrollokat vezetett volna be.

Jelen esetben a bírság kiszabása során, a Ticketmaster által előadottakra tekintettel az ICO nem tett arra vonatkozó megállapítást, hogy a vállalat megsértette a GDPR 33. cikkben foglalt felügyeleti hatóság felé történő incidens bejelentés előírásait.

IV. Bírság kiszabásának körülményei

A Ticketmaster a hatóság álláspontja szerint nem felelt meg a személyes adatok kezelésére vonatkozó GDPR 5. cikk (1) bekezdés f) pontjában foglalt integritás és bizalmas jelleg elvének, valamint a 32. cikkben foglalt az adatkezelés biztonságát előíró rendelkezéseknek, melyre tekintettel a hatóság megfelelőnek találta a bírság kiszabását a vállalattal szemben.

A brit adatvédelmi hatóság véleménye szerint az ügyfelek személyes adataik átadásakor elvárják azok megfelelő védelmét a vállalat részéről, amit azonban jelen esetben a vállalat nem biztosított. A vállalatnak a chat-bot funkciót érintő kibertámadás kockázatának csökkentése érdekében tett intézkedései nem voltak elegendőek, ezáltal több millió brit és európai személy adata vált kitetté a támadásnak. Az 1,25 millió font (kb. 500 millió forint) bírság üzenete, hogy az ügyfelek személyes adatainak biztonságának biztosítása elsők között kell szerepeljen valamennyi szervezet feladatai között.

Ugyan az eset 2018. februárjában kezdődött, a bírság kizárólag a GDPR 2018. május 25-i hatályba lépését követő és a 2018. június 23. közötti időszakra vonatkozik. Az ICO, mint a GDPR 60. cikke szerinti fő felügyeleti hatóság együttműködött a többi érintett felügyeleti hatósággal és azok egyetértésével hozta meg döntését.

További információk: https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf