צרפת קונסת את Free Mobile ב־42 מיליון אירו בעקבות פרצת מידע ב־2024
רשות הגנת המידע הצרפתית (CNIL) הטילה קנסות מצטברים בגובה 42 מיליון אירו על חברת Free Mobile ועל חברת האם שלה, Free, בשל הגנה בלתי מספקת על נתוני לקוחות מפני איומי סייבר.
החברה, שהיא ספקית האינטרנט השנייה בגודלה בצרפת, חוותה פרצת מידע באוקטובר 2024, במהלכה נחשפו פרטים של כמעט 23 מיליון מנויי סלולר ופס-קבוע.ההאקרים תקפו את כלי הניהול של החברה וגנבו מידע רגיש של לקוחות, אותו תכננו למכור מאוחר יותר בפורום האקרים. ההצעה פורסמה מחשבון בשם drussellx, שטען כי ההתקפה פגעה ב־19.2 מיליון לקוחות, וכי הפרטים שנגנבו כללו בין היתר מספרי IBAN של כ־25% מהם."לאחר מספר גדול של תלונות (יותר מ־2,500 עד כה) מצד אנשים שנפגעו מפרצת מידע זו, ביצעה ה־CNIL בדיקה שחשפה הפרות של מספר חובות על פי תקנות הגנת המידע האירופיות (GDPR) מצד FREE MOBILE ו־FREE, שכל אחת מהן היא בקרית מידע עבור המנויים שלה", נמסר מהרשות הצרפתית.באופן ספציפי, נמצאו הפרות אלו:
- אי הבטחת אבטחת מידע מספקת (סעיף 32 ל־GDPR) – ל־Free Mobile ול־Free היו אמצעי אבטחה בלתי מספקים, כולל אימות VPN חלש לגישה מרחוק של עובדים וזיהוי לקוי של פעילות חריגה, שאפשרו את המתקפה.
- כשל בהודעה מספקת לנפגעים מהפריצה (סעיף 34 ל־GDPR) – אף שהחברות הודיעו ללקוחותיהן, ההודעות היו לקוניות ולא כללו מידע מפורט, ולא הבהירו את השלכות הפריצה או אילו צעדים צריכים להינקט כדי לצמצם את הסיכון.
- שימור יתר של נתונים אישיים (סעיף 5(1)(e) ל־GDPR) – Free Mobile שמרה נתונים אישיים של מיליוני מנויים לשעבר מעבר לתקופה הנחוצה, ולא מיינה או מחקה אותם בזמן, מעבר למה שנדרש לצרכים חשבונאיים.
ה־CNIL הורתה לשתי החברות להשלים את יישום צעדי האבטחה החדשים בתוך שלושה חודשים, ודרשה מ־Free Mobile להשלים את מיון ומחיקת עודפי הנתונים האישיים בתוך שישה חודשים.
מקור:
