De onafhankelijke Franse administratieve regelgevende instantie, CNIL (Nationale Commissie voor Informatica en Vrijheid), heeft en Free Mobile een gezamenlijke boete van €42 miljoen opgelegd Free vanwege beveiligingsfouten die verband houden met een grote datalek van klanten. De toezichthouder zei dat haar onderzoek tekortkomingen aan het licht bracht in de manier waarop de bedrijven persoonsgegevens beschermden, wat bijdroeg aan de omvang van het incident.
CNIL legde een boete Free van €27 miljoen op aan Mobile en een boete van €15 miljoen aan Free . De boetes hebben betrekking op een inbreuk die in 2024 werd bekendgemaakt, toen een aanvaller toegang kreeg tot interne systemen en persoonlijke informatie verkregen die gekoppeld was aan miljoenen abonnees. CNIL zei dat de blootgestelde gegevens klantidentificaties en andere rekeninggegevens omvatten, en in sommige gevallen bankrekeninginformatie zoals IBANs.
De bedrijven zeiden eerder dat de inbraak ongeautoriseerde toegang tot een abonneebeheertool betrof. Ze zeiden destijds dat wachtwoorden en bankkaartnummers niet werden beïnvloed. De daaropvolgende inspectie van CNIL richtte zich op de vraag of er vóór het incident passende beveiligingsmaatregelen waren genomen en of de bedrijven aan hun verplichtingen onder de Europese gegevensbeschermingswetgeving voldeden.
CNIL meldde dat het onderzoek zwakke plekken in toegangscontroles en monitoring aan het licht bracht. Er werd gezegd dat authenticatie- en beveiligingsprocedures niet voldoende robuust waren om ongeoorloofde toegang te voorkomen, en dat de detectiemaatregelen niet sterk genoeg waren om verdachte activiteiten snel te identificeren. De toezichthouder zei dat deze hiaten het risico vergrootten dat klantinformatie werd ingezien en bijdroegen aan de impact van het datalek.
De toezichthouder wees ook op problemen met gegevensbewaring en zei dat de bedrijven niet voldoende hadden beperkt hoe lang persoonlijke informatie werd opgeslagen, inclusief gegevens die aan voormalige klanten werden gekoppeld. Volgens de AVG zijn organisaties verplicht persoonsgegevens alleen zo lang als nodig te bewaren en passende technische en organisatorische waarborgen toe te passen om deze te beschermen.
CNIL zei dat de boetes het aantal getroffenen en de gevoeligheid van sommige van de blootgestelde informatie weerspiegelen. De toezichthouder zei dat de beslissing bedoeld is om de eisen aan telecomaanbieders te versterken om klantgegevens te beveiligen en ervoor te zorgen dat kernbeveiligingsmaatregelen consequent worden toegepast.
Free en Free Mobile heeft nog niet aangekondigd of ze in beroep zullen gaan. CNIL zei dat de handhavingsactie het standaardproces volgt voor het onderzoeken van datalekken en het opleggen van sancties wanneer aan beveiligings- en nalevingsverplichtingen niet wordt voldaan.