Majoituspalveluyritys Forenomin suojatoimet olivat puutteellisia, kun sen asiakkaiden itsepalveluportaaliin tehtiin tietomurto maaliskuussa 2020, tietosuojavaltuutetun toimiston päätöksessä sanotaan.
Tutkinnan perusteella tietomurto toteutettiin SQL-injektiolla, joka on varsin yleinen hyökkäys tietoturva-aukkoja vastaan. Hyökkääjä oli suorittanut automaation avulla useita erilaisia komentoja, joista ainakin yksi oli hyödyntänyt tietokannan rajapinnan haavoittuvuutta.
Haavoittuvuuksien havaitsemiseksi ja korjaamiseksi Forenom olisi voinut suorittaa säännöllisempää testausta.
Forenom saa tietosuojavaltuutetulta paitsi huomautuksen puutteellisista suojatoimista henkilötietojen osalta myös määräyksen lyhentää tietojen säilytysaikaa. Tietoturvaloukkauksesta tuli useita kanteluita, joissa rekisteröidyt kertoivat olleensa Forenomin asiakkaita yli kymmenen vuotta sitten.
Henkilötietojen säilytysajan oltava mahdollisimman lyhyt
Tietosuojavaltuutetun saaman selvityksen mukaan Forenom kertoi säilyttävänsä kaikkia majoitus- ja vuokrasuhteeseen liittyviä asiakastietoja kymmenen vuotta, jotta se voisi muun muassa varautua mahdollisiin vahingonkorvauskanteisiin.
Tietosuojavaltuutettu piti kuitenkin ilmeisenä, että mahdollisia riitatilanteita selvitetään yleensä nopeasti vuokrasuhteen päättymisen jälkeen. Sellaisissa tapauksissa tietoja voidaan säilyttää pidempään.