Tietosuojavaltuutettu kertoi torstaina antaneensa majoituspalveluja tarjoavalle Forenomille huomautuksen henkilötietojen käsittelystä. Huomautus liittyy kolmen vuoden takaiseen tietomurtoon, jolloin hyökkääjä sai muun muassa käsiinsä 60 569 kappaletta asiakastietoja.
Lue lisää: Murto suomalaiseen nettipalveluun: ”Suosittelemme sinua vaihtamaan salasanasi”
Asiakkaiden osalta murrossa vaarantuivat nimi, osoite, postinumero, kaupunki, maa, sähköpostiosoite, puhelinnumero, kieli ja tilinumero. 24 315 rekisteröidyn osalta vuoti myös henkilötunnus.
Tietosuojavaltuutetun toimiston selvityksen mukaan yritys oli suojannut tiedot puutteellisesti ja myös säilyttänyt asiakkaiden henkilötietoja liian pitkään. Tietomurrosta tehtiin tietosuojavaltuutetun toimistoon 14 kantelua. Rekisteröidyt kertoivat olleensa Forenomin asiakkaita jopa yli kymmenen vuotta sitten.
Hyökkääjä käytti hyväkseen ohjelmistohaavoittuvuutta päästäkseen Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään. Murto onnistui niin sanotulla sql-injektiolla, jollaiset ovat yksi kriittisimmistä verkkopalveluiden tietoturvariskeistä. Niitä on myös pidetty helposti korjattavina.
Lue myös: Injektio vaanii varomatonta koodaajaa
Tietosuojavaltuutettu katsoo, että yritys olisi voinut suorittaa säännöllisempää testausta haavoittuvuuksien havaitsemiseksi ja korjaamiseksi.
Forenom perusteli asiakastietojen kymmenen vuoden säilytystä muun muassa mahdollisiin vahingonkorvauskanteisiin varautumisella. Yhtiö lyhensi henkilötietojen säilytysaikaa murron jälkeen, mutta käytti perusteena kirjanpitolakia. Se ei tietosuojavaltuutetulle kelvannut.
Valtuutettu määräsi yrityksen lyhentämään säilytysaikaa siltä osin, kun tietoja ei tarvitse säilyttää kirjanpidon tai muiden lakisääteisten velvoitteiden noudattamiseksi.
Päätös ei ole lainvoimainen.
