Προσωπικά δεδομένα: Πρόστιμο 225.000 σε εταιρεία ηλεκτρονικών αγορών και στην εταιρεία που υποστήριζε την ιστοσελίδα
Πρόστιμο 150.000 ευρώ σε εταιρεία ηλεκτρονικών αγορών και 75.000 ευρώ στην εταιρεία που είχε αναλάβει την υποστήριξη της ιστοσελίδας της επέβαλε η εποπτική αρχή για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα της Γαλλίας (CNIL).
Το πρόστιμο επιβλήθηκε για παραβίαση της υποχρέωσης ασφάλειας σύμφωνα με το άρθρο 32 του Γενικού Κανονισμού για την Προστασία Δεδομέων (ΓΚΠΔ), καθώς υπεύθυνος και εκτελών την επεξεργασίας δεν έλαβαν ικανοποιητικά μέτρα ασφαλείας για να αντιμετωπίσουν επιθέσεις τύπου "credential stuffing" στην ιστοσελίδα.
Σύμφωνα με το ιστορικό της υπόθεσης, η CNIL δέχθηκε δεκάδες καταγγελίες για παραβιάσεις δεδομένων σε μία ιστοσελίδα, μέσω της οποίας πραγματοποιούνταν καθημερινά εκατομμύρια συναλλαγές.
Από τον έλεγχο της CNIL προέκυψε ότι η ιστοσελίδα είχε δεχθεί πολλαπλές επιθέσεις credential stuffing, έναν τύπο επίθεσης όπου τα credentials (όνομα χρήστη και κωδικός) από προηγούμενες παραβιάσεις δοκιμάζονται σε άλλες ιστοσελίδες (σε μεγάλη κλίμακα μ τη χρήση bots), προκειμένου να εντοπιστούν χρήστες που έχουν τυχόν χρησιμοποιήσει τα ίδια.
Σύμφωνα με την CNIL, οι δύο εταιρείες προσπάθησαν να πάρουν μέτρα μετά τις πρώτες επιθέσεις, ωστόσο καθυστέρησαν χαρακτηριστικά μέχρι να αντιμετωπίσουν τον κίνδυνο αποτελεσματικά.
Στο ενδιάμεσο χρονικό διάστημα, οι εισβολείς απέκτησαν πρόσβαση στα δεδομένα 40.000 πελατών, μεταξύ των οποίων ονόματα, διευθύνσεις email, ημερομηνία γεννήσεως και στοιχεία σχετικά με τις παραγγελίες τους.
Με την επιβολή προστίμου και στα δύο εμπλεκόμενα μέρη, η CNIL υπενθυμίζει ότι η ασφάλεια των δεδομένων δεν αποτελεί υποχρέωση μόνο του υπευθύνου επεξεργασίας, αλλά και του εκτελούντος, ο οποίος οφείλει να αναζητά διαρκώς τα κατάλληλα τεχνικά και οργανωτικά μέτρα και να τα εισηγείται στον υπεύθυνο επεξεργασίας.
ΠΗΓΗ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου