ADS
ADS
ADS
Amenzi de peste 523.000 de lei pentru Orange România, după două deficiențe de securitate
By Administrator
Published on 18/07/2026 09:46
STIRI

Orange România a primit două amenzi în valoare totală de 523.900 de lei, echivalentul a 100.000 de euro, după ce Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a descoperit deficiențe grave în protejarea informațiilor clienților.

Investigația, finalizată în iunie 2026, a fost declanșată după ce operatorul a raportat o încălcare a securității datelor, conform obligațiilor prevăzute de Regulamentul general privind protecția datelor, notează Observatornews.ro.

Incidentul inițial s-a produs în aplicația mobilă Orange. Din cauza unei erori de sincronizare între două sisteme interconectate, contul unui client a fost asociat greșit cu cel al unui angajat. Astfel, utilizatorul a putut consulta și descărca facturile pentru echipamente emise pe numele altor persoane.

Documentele conțineau date precum numele și prenumele clienților, adresele de domiciliu și de livrare, seria și numărul cărții de identitate, precum și seria, numărul și data emiterii facturilor.

„Operatorul a notificat faptul că incidentul de securitate a apărut în aplicația mobilă deținută de acesta, unde un client a putut accesa și descărca facturile de echipamente aparținând altor clienți. Acesta a apărut ca urmare a unei erori de sincronizare între două aplicații interconectate ale operatorului, care a generat o asociere greșită între contul unui client și cel al unui angajat al companiei”, a transmis ANSPDCP.

Pentru lipsa unor măsuri adecvate de protejare a datelor încă din etapa configurării și utilizării platformelor digitale, Orange a fost amendată cu 104.780 de lei, echivalentul a 20.000 de euro.

Cea de-a doua sancțiune, în valoare de 419.120 de lei, echivalentul a 80.000 de euro, a fost aplicată pentru deficiențele privind confidențialitatea și securitatea datelor prelucrate.

În timpul verificărilor, autoritatea a constatat și existența unei vulnerabilități la nivelul aplicației de ticketing a companiei. Platforma era accesibilă public, fără conexiune securizată prin VPN, autentificare în doi pași sau limitarea accesului în funcție de adresa IP. Totodată, Orange nu ar fi verificat periodic eficiența sistemelor sale de securitate.

„Această vulnerabilitate a permis un atac informatic asupra securității accesului în aplicația de ticketing a operatorului, care a condus la accesarea și divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public, fără măsuri de siguranță, cum ar fi conexiunea securizată prin VPN, autentificarea în doi pași sau restricționarea accesului pe baza adresei IP”, se precizează în comunicatul autorității.

În urma atacului ar fi fost sustras un volum foarte mare de informații. Printre datele compromise se numără nume, adrese, numere de telefon, adrese de e-mail, coduri numerice personale, seriile și numerele actelor de identitate, inclusiv copii ale acestora, precum și informații despre carduri bancare.

Au mai fost expuse date privind termenele de valabilitate și furnizorii cardurilor, coduri IBAN, coduri de client, numere ale cartelelor SIM, date de autentificare care puteau permite comunicarea între aplicații și informații referitoare la funcțiile ocupate de angajați.

Pe lângă aplicarea amenzilor, ANSPDCP a obligat Orange România să implementeze un proces tehnic și organizatoric de monitorizare și testare a tuturor aplicațiilor folosite. Compania trebuie să controleze modificările aduse programelor informatice, inclusiv actualizările, configurările și interconectarea sistemelor, și să efectueze teste pentru identificarea vulnerabilităților care ar putea permite accesarea neautorizată a datelor personale.

 

Comments