Ευπάθεια επέτρεπε την πρόσβαση σε δεδομένα εκατομμυρίων συνδρομητών – Ο έλεγχος ταυτότητας χρήστη είχε απενεργοποιηθεί κατά τη διάρκεια δοκιμών και δεν ενεργοποιήθηκε ξανά μετά την ολοκλήρωσή τους
Πρόστιμο ύψους 250.000 ευρώ επέβαλε λίγο πριν το τέλος του 2018 η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL), σε γαλλική εταιρία τηλεπικοινωνιών για την ανεπαρκή προστασία των προσωπικών δεδομένων της σε πακέτο κινητής τηλεφωνίας.
Σύμφωνα με το ιστορικό, στις 2 Μαρτίου 2018 η εταιρεία Bouygues Telecom ενημερώθηκε από τρίτο μέρος για την ύπαρξη μίας μακροχρόνιας ευπάθειας στην ιστοσελίδα της, bouyguestelecom.fr, αποτέλεσμα της οποίας είναι να υπάρχει η δυνατότητα σε οποιοδήποτε πρόσωπο, συμπεριλαμβανομένων κακόβουλων τρίτων, να αποκτήσουν πρόσβαση σε έγγραφα που περιέχουν προσωπικά δεδομένα πελατών από διάφορες διευθύνσεις URL με παρόμοια δομή.
Στις 6 Μαρτίου 2018, η Bouygues Telecom γνωστοποίησε στην CNIL την παραβίαση δεδομένων (data breach).
Η εταιρεία εξήγησε ότι το περιστατικό οφείλεται σε ανθρώπινο λάθος: το τμήμα του κώδικα της ιστοσελίδας, με βάση το οποίο απαιτείται έλεγχο ταυτότητας του χρήστη στην ιστοσελίδα είχε απενεργοποιηθεί κατά τη διάρκεια δοκιμών (test) στην ιστοσελίδα, αλλά δεν ενεργοποιήθηκε ξανά μετά την ολοκλήρωση των δοκιμών. Η εταιρεία υποστήριξε ότι εμπόδισε γρήγορα την χωρίς δικαίωμα πρόσβαση στα δεδομένα.
Στην απόφαση της CNIL σημείωνεται ότι η παράβαση επηρέασε περισσότερους από δύο εκατομμύρια πελάτες και περιλάμβανε προσωπικά δεδομένα, όπως το ονοματεπώνυμο του πελάτη, την ημερομηνία γέννησης, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τη διεύθυνση και τον αριθμό κινητού τηλεφώνου.
Η CNIL σημείωσε επίσης ότι η εν λόγω παράβαση διήρκεσε περισσότερο από δύο χρόνια.
Η CNIL αναγνώρισε ότι το ανθρώπινο λάθος ήταν η αιτία του συμβάντος και ότι η εταιρεία δεν ‘ηταν δυνατό να προστατευτεί πλήρως από τέτοια λάθη.
Ωστόσο, η CNIL διαπίστωσε ότι για περισσότερα από δύο χρόνια η εταιρεία δεν εφάρμοσε τα κατάλληλα μέτρα ασφαλείας που θα της επέτρεπαν να ανακαλύψει την παραβίαση και κατέληξε στο συμπέρασμα ότι η εταιρεία δεν τήρησε την υποχρέωσή της να προστατεύσει τα προσωπικά δεδομένα των πελατών της.
Για καλή τύχη της Bouygues Telecom, κατά τη στιγμή της παραβίασης των δεδομένων (Μάρτιος 2018) δεν είχε τεθεί σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), με αποτέλεσμα το πρόστιμο της CNIL να “περιοριστεί” στις 250.000 ευρώ.
Η απόφαση είναι διαθέσιμη στη γαλλική γλώσσα.