25.08.2021 | Kliknij tutaj, aby posłuchać artykuł
Inspektor ochrony danych osobowych Dolnej Saksonii nałożył na operatora sklepu internetowego karę w wysokości 65 000 euro. Jak wykazało sporządzone przez organ sprawozdanie z działalności za rok 2020, przyczyną był przestarzały system sklepowy, który nie spełniał już najnowszych standardów technologicznych i zawierał istotne luki w zabezpieczeniach. Przy stosunkowo niewielkim wysiłku nieupoważnione osoby mogłyby wejść w posiadanie danych dostępowych wszystkich osób zarejestrowanych w oprogramowaniu.
Według sprawozdania na stronie wykorzystywana była aplikacja sklepu internetowego „xt:Commerce w wersji 3.0.4 SP2.1”. Program ten już od 2014 roku nie jest zaopatrywany przez producenta w aktualizacje bezpieczeństwa. Producent oprogramowania ostrzegał jednak o lukach w zabezpieczeniach związanych z brakiem aktualizacji.
Ochrona danych wymaga zastosowania w sprzedaży internetowej środków technicznych i organizacyjnych
Każdy, kto przetwarza dane osobowe, jako administrator lub podmiot przetwarzający, ma zgodnie z RODO obowiązek zastosować tak zwane środki techniczne i organizacyjne (skrót niemiecki TOM). Taka sytuacja miała już miejsce przed wprowadzeniem RODO, ale niewystarczające wdrożenie tych środków nie podlegało jeszcze karze grzywny. Mają one służyć wychwyceniu i wyważeniu ryzyka istniejącego dla danych osobowych oraz zminimalizowaniu go za pomocą odpowiednich działań jeszcze przed przetwarzaniem. Niektóre z tych działań wymienione są w art. 32 RODO i obejmują np. pseudonimizację i szyfrowanie danych osobowych.
Środki te muszą zapewniać wystarczającą ochronę nie tylko w momencie ich wdrażania, ale także zawsze wtedy, gdy odbywa się przetwarzanie danych. Dlatego w razie potrzeby muszą być również sprawdzane i aktualizowane – przecież możliwości techniczne i zagrożenia również stale się rozwijają. Innymi słowy: chcąc korzystać z programu, w którym przetwarzane są dane osobowe, wystarczająca ochrona musi być sprawdzona i zapewniona nie tylko w fazie początkowej, ale także po latach, jeżeli program jest nadal wykorzystywany.
Odczytanie haseł nie sprawiało większych trudności
Jak stwierdzono w sprawozdaniu z działalności organu ochrony danych, oprogramowanie stosowane w tym przypadku od pewnego czasu nie było poddawane aktualizacji. Pozwoliło to m.in. na przeprowadzenie tzw. ataków SQL injection, za pomocą których hakerzy mogli wprowadzać własne komendy do wykorzystywanej bazy danych. W ten sposób można było wykradać lub usuwać zawartość bazy danych (np. dane dostępowe) . Możliwe okazało się nawet wyłączenie całego serwera.
Nie zastosowano także „soli”. Jest to ciąg znaków dodawany do hasła, który znacznie utrudnia odczytywanie zaszyfrowanych haseł. W omawianym przypadku dane zostały zabezpieczone za pomocą kryptograficznej funkcji haszującej, za pomocą której poddawane ochronie dane są niejako rozdrabniane i rozdzielane. Jednak funkcja haszująca, w tym przypadku „MD5”, nie została zaprojektowana do zabezpieczania haseł, więc odczytanie ich nie sprawiłoby trudności. Jak podaje dalej raport, wysiłek związany z wdrożeniem takich środków bezpieczeństwa byłby możliwy do wykonania, zwłaszcza gdy są one wprowadzane wraz z nowszymi wersjami oprogramowania. Poza tym sama aktualizacja używanego oprogramowania zazwyczaj byłaby wystarczająca do usunięcia luk.
W tym przypadku podjęte środki techniczne nie były jednak wystarczające lub odpowiednie, w związku z czym doszło do naruszenia art. 32 ust. 1 RODO. Grzywna w wysokości 65 500 euro została zaakceptowana przez ukarane przedsiębiorstwo. Nakładając grzywnę, inspektor ochrony danych wziął również pod uwagę fakt, że przedsiębiorstwo poinformowało osoby poszkodowane o konieczności zmiany haseł jeszcze przed wszczęciem postępowania w sprawie grzywny.
Więcej informacji na temat tej sprawy oraz niezbędnych zabezpieczeń technicznych i organizacyjnych można znaleźć we wspomnianym sprawozdaniu z działalności inspektora ochrony danych Dolnej Saksonii za rok 2020 od strony 95.
