Η γαλλική αρχή προστασίας δεδομένων (CNIL) επέβαλε σωρευτικά πρόστιμα ύψους 42 εκατομμυρίων ευρώ στη Free Mobile και τη μητρική της εταιρεία, τη Free, για ανεπαρκή προστασία των δεδομένων των πελατών από απειλές στον κυβερνοχώρο.
Η εταιρεία είναι ο δεύτερος μεγαλύτερος πάροχος υπηρεσιών Διαδικτύου στη Γαλλία και υπέστη παραβίαση δεδομένων τον Οκτώβριο του 2024, αποκαλύπτοντας πληροφορίες για σχεδόν 23 εκατομμύρια συνδρομητές κινητής και σταθερής τηλεφωνίας.
Οι χάκερ στόχευσαν το εργαλείο διαχείρισης της εταιρείας και έκλεψαν ευαίσθητες πληροφορίες πελατών για να τις πουλήσουν αργότερα σε ένα φόρουμ χάκερ. Η προσφορά προήλθε από έναν λογαριασμό με το όνομα «drussellx» και ισχυρίστηκε ότι η επίθεση επηρέασε 19,2 εκατομμύρια πελάτες και ότι οι λεπτομέρειες περιελάμβαναν IBAN για περίπου το 25% των ανθρώπων.
Μετά από έρευνα για το συμβάν, το CNIL κατέληξε στο συμπέρασμα ότι, παρά το γεγονός ότι η Free βελτίωσε τη στάση της στον κυβερνοχώρο μετά το συμβάν, η προηγούμενη αμέλειά της παραβίασε αρκετούς κανόνες GDPR.
“Μετά από μεγάλο αριθμό καταγγελιών (περισσότερες από 2.500 μέχρι σήμερα) από άτομα που επηρεάστηκαν από αυτή την παραβίαση δεδομένων, το CNIL πραγματοποίησε έλεγχο που αποκάλυψε παραβιάσεις αρκετών υποχρεώσεων βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που αποδίδονται στο FREE MOBILE και το FREE, καθένα από τα οποία είναι ο υπεύθυνος επεξεργασίας δεδομένων συνδρομητή.” ανέφερε το γαλλικό πρακτορείο
Συγκεκριμένα, διαπιστώθηκαν οι ακόλουθες παραβάσεις:
- Μη διασφάλιση της ασφάλειας δεδομένων (άρθρο 32 GDPR) – Το Free Mobile και το Free είχαν εφαρμόσει ανεπαρκή μέτρα ασφαλείας, συμπεριλαμβανομένου του αδύναμου ελέγχου ταυτότητας VPN για την απομακρυσμένη πρόσβαση των εργαζομένων και τον αναποτελεσματικό εντοπισμό μη φυσιολογικής δραστηριότητας, που επέτρεψαν την επίθεση.
- Αποτυχία σωστής ενημέρωσης των επηρεαζόμενων ατόμων για την παραβίαση (άρθρο 34 GDPR) – Παρόλο που οι εταιρείες ειδοποίησαν τους χρήστες, τα μηνύματα ηλεκτρονικού ταχυδρομείου δεν διέθεταν λεπτομερείς πληροφορίες και δεν εξηγούσαν με σαφήνεια τις συνέπειες της παραβίασης ή ποια μέτρα πρέπει να ληφθούν για τον μετριασμό του κινδύνου.
- Υπερβολική διατήρηση προσωπικών δεδομένων (άρθρο 5 παράγραφος 1 στοιχείο ε) GDPR) – Το Free Mobile διατήρησε προσωπικά δεδομένα εκατομμυρίων πρώην συνδρομητών για μεγαλύτερο χρονικό διάστημα από ό,τι ήταν απαραίτητο και δεν τα ταξινόμησε ή τα διέγραψε σε εύθετο χρόνο, πέρα από αυτό που δικαιολογείται για λογιστικούς σκοπούς.
Το CNIL διέταξε και τις δύο εταιρείες να ολοκληρώσουν τα πρόσφατα μέτρα ασφαλείας τους εντός τριών μηνών και ζήτησε από τη Free Mobile να ολοκληρώσει την ταξινόμηση και την αφαίρεση των πλεοναζόντων δεδομένων πελατών εντός έξι μηνών.
Μετά την παραβίαση στο Free Mobile, η Γαλλία αντιμετώπισε περισσότερα περιστατικά έκθεσης πελατών ή διακοπής υπηρεσιών σε μεγάλους παρόχους τηλεπικοινωνιακών υπηρεσιών.
Τον Ιούλιο του 2025, η Orange France ανακοίνωσε ότι είχε εντοπίσει παραβίαση στα συστήματά της, προκαλώντας λειτουργικές διακοπές. Ένα μήνα αργότερα, η Bouygues Telecom υπέστη παραβίαση δεδομένων που αποκάλυψε τα ευαίσθητα δεδομένα 6,4 εκατομμυρίων πελατών.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
