De Poolse tak van telecomprovider Virgin Mobile heeft een boete van 460.000 euro gekregen voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Het bedrijf heeft nagelaten om de gegevens van klanten goed te beveiligen waarmee de AVG is geschonden, aldus de Poolse privacytoezichthouder UODO.

Naar aanleiding van een datalek stelde de UODO een onderzoek in. Dat onderzoek toonde aan dat Virgin Mobile de beveiliging van de dataverwerking niet periodiek testte. Alleen wanneer er sprake was van een mogelijke kwetsbaarheid of organisatorische veranderingen werden de effectiviteit van de aanwezige beveiliging getest en beoordeeld.

Tevens vonden er geen tests plaats naar de beveiliging van data die tussen verschillende applicaties werd uitgewisseld. Een kwetsbaarheid in één van deze systemen werd misbruikt door een aanvaller voor het stelen van klantgegevens. Het systeem had data alleen mogen uitwisselen nadat het verzoek van de betreffende entiteit was gecontroleerd. In de praktijk bleek deze verificatie niet te werken en was voor de implementatie ervan ook niet getest.

Door het niet goed controleren van opgegeven parameters was het zo mogelijk om klantgegevens te stelen. Pas nadat het datalek aan het licht kwam ondernam Virgin Mobile stappen om het probleem te verhelpen. Volgens de Poolse privacytoezichthouder is de implementatie van een dataverwerkingssysteem dat de geldigheid van opgegeven parameters niet controleert een flagrante overtreding van het bedrijf.

Bij het opleggen van de boete heeft de UODO rekening gehouden met het feit dat de aanvaller in korte tijd grote hoeveelheden klantgegevens kon stelen en de kwetsbaarheid al geruime tijd in het systeem aanwezig was. Door middel van de boete hoopt de privacytoezichthouder dat Virgin Mobile maatregelen neemt om soortgelijke missers in de toekomst te voorkomen.