Breșă de securitate la NEMO Express: încălcare gravă a GDPR

Breșa a fost descoperită chiar de către un client al NEMO Express care a avertizat wall-street.ro în legătură cu această situație. În ce constă problema? AWB-urile clienților (care conțin numere de telefon, adrese, CNP-uri, produse comandate etc.) sunt publice și necriptate pe site-ul companiei, ușor de descoperit de către oricine. 

 "Am găsit AWB-uri atât de luna această, cât și încă din aprilie - probabil sunt toate comenzile procesate și livrate prin NEMO Express într-un anumit interval de timp. Ce e surprinzător este că toate aceste informații sunt publice - adică oricine poate accesă URL-urile respective, fără parolă, fără username - nu există niciun fel de criptare sau măsură de securitate", a explicat pentru wall-street.ro sursa citată, care a dorit să rămână anonimă. . 

În imaginea de mai jos sunt compilate doar câteva dintre AWB-urile dintr-o singură zi de activitate a NEMO Express. Acestea sunt publicate pe site-ul companiei în format .JPG si pot fi vizualizate de oricine, fără a fi necesară nicio parola sau user name.

Oficialii NEMO Express neagă existența unei vulnerabilități (deci și încălcarea regulamentului GDPR), în ciuda faptului că aceasta le-a fost adusă la cunoștință. 

Ana-Maria Udriște, avocată și expertă GDPR, a declarat, tot pentru wall-street.ro, că NEMO Express are obligația de a lua măsuri care să asigure confidențialitatea și securitatea prelucrării datelor. ” Faptul că pe link-uri publice, accesibile oricărei persoane din exterior, se pot vedea AWB-urile scanate, cu toate detaliile, fără a fi anonimizate sau confidențiale reprezintă o breșă de securitate. Potrivit legislației naționale și europene, pentru nerespectarea sau implementarea defectuoasă a unor măsuri de securitate, operatorul riscă o amendă de 10 mil euro sau 2% din cifră de afaceri, în funcție de care valoare este mai mare”, mai spune ea.