Orange România a fost sancționată cu amenzi totale de 523.900 de lei, echivalentul a 100.000 de euro, după ce un client a putut accesa și descărca facturi pentru echipamente care aparțineau altor persoane.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat încălcări ale regulamentului european privind protecția datelor, GDPR.
Incidentul a fost raportat chiar de companie, iar investigația autorității a fost finalizată în iunie 2026. Potrivit ANSPDCP, problema a apărut în aplicația mobilă Orange, pe fondul unei erori de sincronizare între două aplicații conectate ale operatorului.
„Operatorul a notificat faptul că incidentul de securitate a apărut în aplicaţia mobilă deţinută de acesta, unde un client a putut accesa şi descărca facturile de echipamente aparţinând altor clienţi.
Acesta a apărut ca urmare a unei erori de sincronizare între două aplicaţii interconectate ale operatorului care a generat astfel o identificare greşită între un cont de client cu cel al unui angajat al companiei”, se arată în comunicatul ANSPDCP.
Citește și : O companie aeriană pregătește concedieri masive pe fondul scumpirii combustibilului
Datele care au putut fi divulgate fără autorizare includ nume, prenume, adrese de domiciliu și de livrare, seria și numărul actului de identitate, seria facturii și data emiterii acesteia.
Autoritatea a concluzionat că operatorul nu a luat suficiente măsuri de securitate la configurarea și folosirea platformelor digitale.
„În cadrul investigaţiei, s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în momentul configurării şi utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi.
Această situaţie a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria şi numărul cărţii de identitate, seria şi numărul facturii, data emiterii acesteia, fiind astfel încălcate dispoziţiile art. 25 alin. (1) din Regulamentul (UE) 2016/679”, precizează ANSPDCP.
Prima amendă, de 104.780 de lei, echivalentul a 20.000 de euro, a fost aplicată pentru lipsa unor măsuri tehnice și organizatorice adecvate încă din faza proiectării și utilizării sistemelor.
A doua sancțiune, de 419.120 de lei, echivalentul a 80.000 de euro, vizează deficiențe legate de confidențialitatea și securitatea datelor prelucrate.
Autoritatea a identificat și o vulnerabilitate în aplicația de ticketing a companiei. Potrivit instituției, platforma era accesibilă public și nu beneficia de măsuri elementare de protecție, precum conexiune VPN, autentificare în doi pași sau restricționarea accesului pe baza adresei IP.
„Această vulnerabilitate a permis un atac informatic asupra securităţii accesului în aplicaţia de ticketing a operatorului, care a condus astfel la accesul neautorizat şi la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranţă, cum ar fi conexiune securizată (VPN), autentificarea în doi paşi (MFA) sau restricţionarea accesului pe bază de IP”, se menționează în comunicat.
ANSPDCP arată că, în urma breșei, a fost extras un volum foarte mare de date, inclusiv nume, adrese, numere de telefon, e-mailuri, CNP-uri, copii ale cărților de identitate, informații despre carduri bancare, coduri IBAN, numere SIM și date de autentificare între aplicații.
Citește și : Magzinele Froo care au împânzit Bucureștiul ar urma să fie cumpărate de un gigant japonez
Orange România trebuie acum să implementeze un proces de monitorizare și testare pentru toate aplicațiile informatice utilizate.
Măsura impusă de autoritate presupune verificarea modificărilor de software, a actualizărilor, a configurațiilor și a modului în care sunt conectate platformele, precum și teste pentru identificarea vulnerabilităților care ar putea permite accesul neautorizat la date personale.