Национальная комиссия по информатике и свободам (CNIL), французский регулятор по защите данных, сегодня наложила совокупный штраф в размере 42 миллионов евро (48,9 миллиона долларов) на две французские телекоммуникационные компании за нарушения Общего регламента по защите данных (GDPR), вызванные утечкой данных.
Free и Free Mobile — это две отдельные компании, курирующие соответственно услуги стационарной связи и мобильной связи, принадлежащие Iliad Group. Штрафы связаны с инцидентом в октябре 2024 года, в результате которого были скомпрометированы данные более 24 миллионов человек, включая финансовую информацию, такую как IBAN.
В своем решении CNIL отметила, что атака началась 28 сентября 2024 года, а компании узнали о вторжении 21 октября из сообщения от ответственного за это злоумышленника. На следующий день Free вытеснила хакера из своих систем.
Злоумышленники получили доступ к сети Free через корпоративный VPN, а затем подключились к инструменту управления абонентами Free Mobile под названием MOBO. Хотя на тот момент хакер получил доступ только к приложению Free Mobile, MOBO позволял пользователям искать данные клиентов как Free, так и Free Mobile, включая их IBAN, при условии, что они являлись подписчиками услуг.
Анализ после инцидента показал, что злоумышленник начал эксфильтрацию записей клиентов 6 октября 2024 года, включая данные, относящиеся к общему числу 24 633 469 контрактов на стационарную и мобильную связь. Это распределилось на 19 460 891 контакт Free Mobile и 5 172 577 контрактов Free.
На момент атаки Free Mobile насчитывала около 15,5 миллиона абонентов, а Free — приблизительно 7,6 миллиона. Компании были оштрафованы на 27 миллионов евро (31,4 миллиона долларов) и 15 миллионов евро (17,4 миллиона долларов) соответственно, исходя из оборота Iliad в 10 миллиардов евро и прибыли в 367 миллионов евро, зафиксированных в 2024 году.
Регулятор заявил, что компании нарушили GDPR тремя способами: не обеспечив должной защиты персональных данных, не уведомив должным образом пострадавших о нарушении и не соблюдая законы о хранении данных.
Объявляя о штрафе, CNIL заявила: «Ограниченная коллегия установила, что в день утечки данных компании не внедрили некоторые базовые меры безопасности, которые могли бы усложнить атаку.
«В частности, было отмечено, что процедура аутентификации для подключения к VPN Free Mobile и VPN Free — используемой, в частности, для удаленной работы сотрудников компании — была недостаточно надежной.
«Кроме того, меры, развернутые Free Mobile и Free для обнаружения аномального поведения в их информационных системах, оказались неэффективными».
При определении размера штрафа учитывался характер похищенных данных, а также политика компаний в отношении хранения данных.
CNIL отметила, что и Free, и Free Mobile не имели необходимых возможностей для сортировки данных бывших абонентов таким образом, чтобы сохранять только необходимую для бухгалтерского учета информацию.
У них также отсутствовал адекватный механизм удаления данных на момент атаки, а когда дело дошло до уведомления пользователей об инциденте, первоначальное электронное письмо не содержало ключевых сведений, необходимых пользователям для всестороннего понимания последствий. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
