Lainanvertailupalveluja tarjoavalle Sambla Groupille seuraamusmaksu tietoturvallisuuden laiminlyönnistä – yrityksen on ilmoitettava asiakkailleen
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt 950 000 euron seuraamusmaksun lainojen vertailupalveluja tarjoavalle Sambla Groupille, sillä heikon tietoturvan vuoksi asiakkaiden lainahakemusten tiedot olivat olleet ulkopuolisten saatavilla asiakkaille tarkoitettujen henkilökohtaisten linkkien kautta. Linkit eivät yrityksen mukaan enää ole käytössä. Yritys määrättiin ilmoittamaan tapahtuneesta asiakkailleen.
Tietosuojavaltuutetun toimiston teknisessä selvityksessä havaittiin, että Sambla Groupin lainaparkki.fi- ja rahoitu.fi -lainanvertailupalveluissa oli vakavia tietoturvapuutteita. Yritys määrättiin lopettamaan lainanhakijoiden henkilötietojen käsittely sähköisissä palveluissaan heti, kun tietoturvapuutteiden vakavuus tuli ilmi maaliskuussa 2024. Asiaa alettiin alun perin selvittää tietosuojavaltuutetulle tehdyn ilmoituksen perusteella.
Selvityksessä kävi ilmi, että palveluissa ei ollut riittäviä rajoituksia, jotka estäisivät ulkopuolisten pääsyn lainahakemusten tietoihin. Tietoihin oli ollut suora pääsy kenelle tahansa, jolla oli tiedossaan asiakkaalle tarkoitettu verkko-osoite ja teknistä osaamista tietoturvapuutteiden hyödyntämiseen. Sambla Group on ilmoittanut poistaneensa käytöstä verkko-osoitteet, joissa oli tietoturvapuutteita ja kehittäneensä palveluidensa tietoturvallisuutta.
”Verkko-osoitteiden tietoturvan taso palveluissa on ollut hyvin heikko. Verkkorikollisuudessa tällaisia haavoittuvuuksia etsitään ja hyödynnetään jatkuvasti. Riittävää tietoturvaa sähköisissä palveluissa on siksi tärkeää arvioida säännönmukaisesti”, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa.
Tekninen selvitys osoitti, että verkko-osoitteisiin oli kohdistunut kalastelua ja henkilötietoja oli myös päätynyt ulkopuolisille. Linkkien kautta oli ollut saatavilla lainanhakijan yhteystietoja sekä muun muassa tietoja tuloista, asumismenoista, siviilisäädystä ja mahdollisista lapsista. Apulaistietosuojavaltuutettu määräsi Sambla Groupin ilmoittamaan tapahtuneesta asiakkailleen, joiden tiedot ovat voineet olla ulkopuolisten saatavilla.
”Kyse on ihmisen taloudellista asemaa kuvaavista tiedoista. Tällaisissa tilanteissa kannattaa olla valppaana epätavallisten yhteydenottojen varalta. Outoihin puheluihin ja viesteihin ei kannata vastata, eikä omia tietojaan pidä antaa epäilyttävien pyyntöjen perusteella. Jos henkilö joutuu petoksen, kiristyksen tai identiteettivarkauden uhriksi, hänen tulee tehdä rikosilmoitus poliisille”, Pihamaa ohjeistaa.
Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset (pdf)
Apulaistietosuojavaltuutetun päätös tietoturvaloukkauksesta (pdf)
Neuvoja tietoturvaloukkauksen uhreille
- Ohjeita tietosuojavaltuutetun toimiston verkkosivuilla: Jos joudut tietoturvaloukkauksen kohteeksi
- Opas Suomi.fi-verkkosivuilla: Henkilötietojani on viety tai vuotanut
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.