Πρόστιμο 250.000 ευρώ σε πάροχο τηλεπικοινωνιών για κενό ασφαλείας σε ιστοσελίδα του (CNIL)
Πρόστιμο ύψους 250.000 ευρώ επέβαλε λίγο πριν το τέλος του 2018 η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL), σε γαλλική εταιρία τηλεπικοινωνιών για την ανεπαρκή προστασία..
Πρόστιμο ύψους 250.000 ευρώ επέβαλε λίγο πριν το τέλος του 2018 η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL), σε γαλλική εταιρία τηλεπικοινωνιών για την ανεπαρκή προστασία των προσωπικών δεδομένων της σε πακέτο κινητής τηλεφωνίας.
Σύμφωνα με το ιστορικό, στις 2 Μαρτίου 2018 η εταιρεία Bouygues Telecom ενημερώθηκε από τρίτο μέρος για την ύπαρξη μίας μακροχρόνιας ευπάθειας στην ιστοσελίδα της, bouyguestelecom.fr, αποτέλεσμα της οποίας είναι να υπάρχει η δυνατότητα σε οποιοδήποτε πρόσωπο, συμπεριλαμβανομένων κακόβουλων τρίτων, να αποκτήσουν πρόσβαση σε έγγραφα που περιέχουν προσωπικά δεδομένα πελατών από διάφορες διευθύνσεις URL με παρόμοια δομή.
Στις 6 Μαρτίου 2018, η Bouygues Telecom γνωστοποίησε στην CNIL την παραβίαση δεδομένων (data breach)Η εταιρεία εξήγησε ότι το περιστατικό οφείλεται σε ανθρώπινο λάθος: το τμήμα του κώδικα της ιστοσελίδας, με βάση το οποίο απαιτείται έλεγχο ταυτότητας του χρήστη στην ιστοσελίδα είχε απενεργοποιηθεί κατά τη διάρκεια δοκιμών (test) στην ιστοσελίδα, αλλά δεν ενεργοποιήθηκε ξανά μετά την ολοκλήρωση των δοκιμών.
Η εταιρεία υποστήριξε ότι εμπόδισε γρήγορα την χωρίς δικαίωμα πρόσβαση στα δεδομέναΣτην απόφαση της CNIL σημείωνεται ότι η παράβαση επηρέασε περισσότερους από δύο εκατομμύρια πελάτες και περιλάμβανε προσωπικά δεδομένα, όπως το ονοματεπώνυμο του πελάτη, την ημερομηνία γέννησης, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τη διεύθυνση και τον αριθμό κινητού τηλεφώνουΗ CNIL σημείωσε επίσης ότι η εν λόγω παράβαση διήρκεσε περισσότερο από δύο χρόνιαΗ CNIL αναγνώρισε ότι το ανθρώπινο λάθος ήταν η αιτία του συμβάντος και ότι η εταιρεία δεν ‘ηταν δυνατό να προστατευτεί πλήρως από τέτοια λάθη.
Ωστόσο, η CNIL διαπίστωσε ότι για περισσότερα από δύο χρόνια η εταιρεία δεν εφάρμοσε τα κατάλληλα μέτρα ασφαλείας που θα της επέτρεπαν να ανακαλύψει την παραβίαση και κατέληξε στο συμπέρασμα ότι η εταιρεία δεν τήρησε την υποχρέωσή της να προστατεύσει τα προσωπικά δεδομένα των πελατών τηςΓια καλή τύχη της Bouygues Telecom, κατά τη στιγμή της παραβίασης των δεδομένων (Μάρτιος 2018) δεν είχε τεθεί σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), με αποτέλεσμα το πρόστιμο της CNIL να “περιοριστεί” στις 250.000 ευρώ.
lawspot.gr
