Κακόβουλοι χρήστες λάμβαναν αντίγραφο των καρτών SIM μέσω της εταιρείας στην Ισπανία και στη συνέχεια πραγματοποιούσαν τραπεζικές μεταφορές
Πρόστιμο ύψους 3.94 εκατ. ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Ισπανίας (AEPD) στη Vodafone για παράβαση του άρθρου 5 παρ.1 στοιχείο στ (ασφάλεια) και 5 παρ. 2 (λογοδοσία) του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ).
Η απόφαση αφορούσε τη μη εφαρμογή κατάλληλων μέτρων ασφαλείας για την πρόληψη της δόλιας αντιγραφής καρτών SIM (πρακτική γνωστή ως SIM swapping).
Ειδικότερα, η AEPD αναφέρει ότι εννέα πελάτες υπέβαλαν καταγγελίες κατά της Vodafone αφού υπήρξαν θύματα απάτης λόγω της δόλιας χρήσης των καρτών SIM τους.
Η AEPD σημείωσε ότι οι κακόβουλοι χρήστες έλαβαν αντίγραφο των καρτών SIM των υποκειμένων των δεδομένων μέσω της Vodafone και στη συνέχεια πραγματοποίησαν διάφορες τραπεζικές μεταφορές από διαδικτυακές τραπεζικές υπηρεσίες και συνήψαν συμβάσεις σε βάρος των θιγόμενων.
Μετά τις έρευνές της, η AEPD διαπίστωσε ότι η Vodafone δεν είχε επαληθεύσει σωστά την ταυτότητα των κακόβουλων χρηστών πριν από την έκδοση των καρτών SIM.
Επιπλέον, η AEPD τόνισε ότι η Vodafone δεν ήταν σε θέση να αποδείξει ότι είχε επαληθεύσει την ταυτότητα του αιτούντος ή την αποτελεσματικότητα των μέτρων που εφαρμόστηκαν για την αποτροπή της απάτης.
Επιπλέον, η AEPD παρατήρησε ότι τα μέτρα ασφαλείας της Vodafone ήταν ανεπαρκή, καθώς κάθε άτομο που είχε τα βασικά προσωπικά δεδομένα ενός υποκειμένου δεδομένων μπορούσε να παρακάμψει την πολιτική ασφαλείας της στο εν λόγω ζήτημα και να λάβει αντίγραφο της κάρτας SIM χωρίς πρόσθετες απαιτήσεις.
Ως εκ τούτου, η AEPD κατέληξε στο συμπέρασμα ότι η Vodafone παραβίασε την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), λόγω έλλειψης σωστής ανάλυσης, σχεδιασμού, εφαρμογής, συντήρησης, ελέγχου και ενημέρωσης των μέτρων ασφαλείας. Επιπλέον, η AEPD σημείωσε ότι αυτό αφορούσε την Προστασία Δεδομένων από Σχεδιασμό, όπως κατοχυρώνεται στο άρθρο 25 του ΓΚΠΔ.
Παράλληλα, η AEPD διαπίστωσε ότι η Vodafone παραβίασε το άρθρο 5 παρ. 1 στοιχείο στ) του ΓΚΠΔ, καθώς δεν ενήργησε με αρκετή επιμέλεια για να αποτρέψει την παράκαμψη των μέτρων ασφαλείας της έναντι της απάτης αυτής. Σε σχέση με αυτό, η AEPD ενημέρωσε ότι η Vodafone έπρεπε να γνωρίζει τον κίνδυνο καθώς τα ισχύοντα μέτρα ήταν σαφώς ανεπαρκή και ανεπαρκή.
Πέραν των ανωτέρω, η AEPD ανέφερε ότι παρόλο που η Vodafone υποστήριξε ότι το γεγονός προέκυψε ως αποτέλεσμα ανθρώπινου λάθους, η AEPD σημείωσε ότι τα συνεχή ανθρώπινα λάθη είναι ένα βαθύτερο πρόβλημα εντός του οργανισμού, γεγονός που καταδεικνύει έλλειψη πρόβλεψης των κινδύνων, ανάλυσης και σχεδιασμού μέτρων ασφαλείας.
Ως εκ τούτου, η AEPD ενημέρωσε ότι τα επηρεαζόμενα υποκείμενα των δεδομένων είχαν επίσης χάσει τη δυνατότητα να ελέγχουν τα προσωπικά τους δεδομένα, καθώς μια κάρτα SIM επιτρέπει την πρόσβαση σε εφαρμογές και υπηρεσίες που απαιτούν έλεγχο ταυτότητας δύο παραγόντων ή ανάκτηση κωδικού πρόσβασης μέσω SMS, επιτρέποντας έτσι την πλαστοπροσωπία για την πλειονότητα των διαδικτυακών υπηρεσιών, όπως το email, η ηλεκτρονική τραπεζική, τα κοινωνικά δίκτυα κ.λπ.
Η απόφαση, διαθέσιμη μόνο στα ισπανικά εδώ.