Milijunska kazna zbog ranjivosti u naplatnom sustavu

Information Commissioner’s Office (ICO) izrekao je kaznu u iznosu 1,25 milijuna funti tvrtki Ticketmaster UK Limited zbog nedovoljne razine zaštite osobnih podataka koja je dovela do kibernetičkog napada. Ugroženi su osobni podaci više od 9 milijuna njihovih kupaca.

Kibernetički napad započeo je još u veljači 2018. i to na online naplatnom sustavu. Konkretno, Ticketmaster je u naplatni sustav implementirao chatbot aplikaciju, a napadači su iskoristili njene ranjivosti kako bi se domogli osjetljivih financijskih podataka – brojeva kreditnih kartica zajedno s imenom nositelja, CVV brojem i datumom isteka. Na ovaj način prikupili su podatke 9,4 milijuna kupaca, od čega 1,5 milijun kupaca iz UK. Ovakav tip online napada danas je poznat pod nazivom Magecart.

Ubrzo nakon što je napad započeo, korisnici kartica prijavili su sumnjive transakcije svojim kartičnim kućama koje su o tome odmah informirale Ticketmaster, ali Ticketmaster nije reagirao. Trebalo im je devet tjedana od prve takve obavijesti da počnu nadzirati promet koji se odvija na mreži u procesu naplate.

U svojoj odluci ICO navodi da Ticketmaster nije osigurao primjerenu razinu zaštite osobnih podataka, što bi podrazumijevalo zaštitu od neovlaštene ili nezakonite obrade te slučajnog uništenja, gubitka i izmjene osobnih podataka. Time je Ticketmaster prekršio odredbe članka 5. stavak 1. točka f. i članka 32. GDPR-a, zbog čega se ICO odlučio na izricanje kazne u skladu s člankom 83. stavak 5. u iznosu 1.250.000,00 funti.