Εγκατάσταση κακόβουλου λογισμικού σε 5.390 ταμειακές μηχανές εντός καταστημάτων οδήγησε σε διαρροή δεδομένων για 9 μήνες προτού γίνει αντιληπτή
Πρόστιμο ύψους 500.000 βρετανικών λιρών (περίπου 587.000 ευρώ) επέβαλε η αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου (Γραφείο Επιτρόπου Πληροφόρησης – ICO) σε μεγάλη εταιρεία πώλησης ηλεκτρονικών ειδών, εξαιτίας παραβίασης πληροφοριακού συστήματος σημείων πώλησης, ως αποτέλεσμα κυβερνοεπίθεσης, η οποία επηρέασε τουλάχιστον 14 εκατομμύρια ανθρώπους.
Από την έρευνα του ICO διαπιστώθηκε ότι οι εισβολείς εγκατέστησαν κακόβουλο λογισμικό σε 5.390 μηχανήματα (tills) σε καταστήματα Currys PC World και Dixons Travel της DSG από τον Ιούλιο του 2017 έως τον Απρίλιο του 2018, συλλέγοντας προσωπικά δεδομένα για εννέα μήνες προτού η επίθεση γίνει αντιληπτή.
Η αποτυχία της εταιρείας να εγγυηθεί την ασφάλεια του συστήματος επέτρεψε τη μη εξουσιοδοτημένη πρόσβαση σε 5,6 εκατομμύρια στοιχεία καρτών πληρωμής που χρησιμοποιήθηκαν σε συναλλαγές και σε προσωπικές πληροφορίες περίπου 14 εκατομμυρίων ατόμων, συμπεριλαμβανομένων πλήρων ονομάτων, ταχυδρομικών κωδικών, διευθύνσεων ηλεκτρονικού ταχυδρομείου και αποτυχημένων ελέγχων πίστωσης από εσωτερικούς διακομιστές.
Η βρετανική αρχή έκρινε ότι η DSG παραβίασε τη νομοθεσία περί προστασίας δεδομένων, εφαρμόζοντας ανεπαρκή μέτρα ασφαλείας και παραλείποντας να λάβει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων (τρωτά σημεία, όπως ανεπαρκής επιδιόρθωση λογισμικού, απουσία firewall και έλλειψη διαχωρισμού δικτύου και τακτικών δοκιμών ασφαλείας).
Αξίζει να σημειωθεί ότι τον Ιανουάριο του 2018, η Αρχή επέβαλε πρόστιμο 400.000 βρετανικών λιρών στην Carphone Warehouse, η οποία ανήκει στον ίδιο όμιλο εταιρειών για παρόμοια προβλήματα ασφαλείας.
Η βρετανική Αρχή θεώρησε ότι τα προσωπικά δεδομένα που διέρευσαν θα επηρέαζαν σημαντικά την ιδιωτική ζωή των ατόμων, αφήνοντας τους πελάτες ευάλωτους σε κινδύνους.
Η Αρχή έλαβε 158 καταγγελίες μεταξύ Ιουνίου και Νοεμβρίου 2018 από τους πελάτες της DSG, ενώ τον Μάρτιο του 2019, η εταιρεία ανέφερε ότι περίπου 3.300 πελάτες τους είχαν έρθει απευθείας σε επαφή μαζί τους για σχετικές παραβιάσεις δεδομένων.