Ритейлер получил штраф за масштабную утечку

Британская сеть розничных магазинов электроники Dixon Carphone оштрафована на 500 тыс. фунтов стерлингов (более $650 тыс.) за то, что в результате кибератаки потеряла личную информацию как минимум 14 млн клиентов, передает издание The Telegraph.

Расследование, проведенное британским информационным регулятором ICO, показало, что в период с 2017 г. по апрель 2018 г. злоумышленники смогли установить вредоносное ПО на подключенных к Сети 5390 кассовых терминалах в салонах Currys PC World и Dixons Travel Stores. Таким образом, ритейлер смог обнаружить нарушение только спустя девять месяцев.

В заявлении ICO отмечается, что неспособность компании Dixon Carphone обеспечить защиту информационных систем привела к тому, что неизвестные смогли получить нелегитимный доступ к данным порядка 5,6 млн платежных карт, а также к информации более 14 млн покупателей. В частности, утекли полные имена, электронные адреса, почтовые индексы.

Столь массовая утечка персональных данных сделала многих покупателей уязвимыми перед лицом мошенников. Только в период с июня 2018 г. по март 2019 г. клиентами Dixon Carphone было подано более 3300 жалоб на незаконное использование личной информации.

Как объяснил директор по расследованиям ICO Стив Экерсли (Steve Eckersley), нарушения в системе безопасности Dixon Carphone были системными, вызванными несоблюдением базовых правил. В результате на ритейлера наложен максимальный штраф в соответствии с требованиями Закона о защите данных 1998 г. (Data Protection Act). В том случае, если бы утечка произошла после утверждения GDPR (принят в мае 2018 г.), штраф мог составить не 500 тыс. фунтов, а около 400 млн фунтов.

В начале 2018 г. ICO за аналогичное нарушение на 400 тыс. фунтов оштрафовал компанию Carphone Warehouse, входящую в тот же холдинг, что и Dixon Carphone.