Персональные данные: штраф 9 млн евро за утечку

Греческий уполномоченный орган по защите данных решил оштрафовать более чем на 9 млн евро оператора связи Cosmote и его материнскую компанию за то, что, допустив утечку, в результате которой скомпрометированы персональные данные, виновники не делают необходимых шагов для информирования клиентов. В ходе инцидента были украдены персональные данные миллионов клиентов.

Одна из крупнейших в истории Греции утечек конфиденциальной информации произошла в октябре 2020 г. Используя методы социальной инженерии, хакер выведал нужную ему конфиденциальную информацию у сотрудника через профиль в сети LinkedIn, а затем взломал аккаунт жертвы. Используя учетные данные сотрудника, хакер смог украсть примерно 48 ГБ данных, принадлежащих клиентам Cosmote.

Согласно сообщениям СМИ, злоумышленник завладел данными о местоположении почти 4,8 млн подписчиков. Примерно у 4,2 млн подписчиков оказались скомпрометированы такие данные, как пол, возраст, тарифный план и средняя выручка на одного клиента (ARPU). Кроме того, хакер завладел уникальными идентификационными номерами подписки на услуги примерно 7 млн человек.

Теперь все эти данные могут быть использованы для совершения преступных действий в отношении пострадавших клиентов оператора. В частности, жертвы утечек могут подвергаться фишинговым атакам и даже вымогательству.

Расследование греческого уполномоченного органа показало, что Cosmote не только не разъяснил клиентам всю серьезность произошедшей утечки, но и не смог правильно применить меры по защите данных. В частности, комиссия выяснила, что оператор должным образом не завершил процесс анонимизации данных, кроме того, в некоторых случаях данные хранились дольше положенного.

В общей сложности, оператор Cosmote признан нарушителем общеевропейского регламента по защите данных (GDPR) по восьми случаям. В результате Cosmote оштрафован регулятором на 5,85 млн евро, а материнская компания OTE – на 3,25 млн евро.

Источник: Total Telecom.