O órgão regulador administrativo francês independente, CNIL (Comissão Nacional de Informática e Liberdade), multou Free Free e a Mobile em um total de €42 milhões por falhas de segurança ligadas a uma grande violação de dados de clientes. O regulador afirmou que sua investigação encontrou deficiências na forma como as empresas protegeram dados pessoais, contribuindo para a dimensão do incidente.
A CNIL impôs uma multa de €27 milhões para Free Mobile e uma multa de €15 milhões para Free . As penalidades estão relacionadas a uma violação divulgada em 2024, quando um invasor acessou sistemas internos e obteve informações pessoais vinculadas a milhões de assinantes. A CNIL afirmou que os dados expostos incluíam identificadores de clientes e outros detalhes das contas, e, em alguns casos, informações bancárias, como IBANs.
As empresas já disseram anteriormente que a invasão envolveu acesso não autorizado a uma ferramenta de gerenciamento de assinantes. Na época, eles disseram que senhas e números de cartão bancário não foram afetados. A inspeção subsequente da CNIL focou em saber se medidas de segurança adequadas estavam em vigor antes do incidente e se as empresas cumpriram suas obrigações sob a legislação europeia de proteção de dados.
A CNIL afirmou que a investigação identificou fragilidades nos controles de acesso e monitoramento. Afirmou que os procedimentos de autenticação e segurança não eram suficientemente robustos para evitar acessos não autorizados, e as medidas de detecção não eram fortes o bastante para identificar rapidamente atividades suspeitas. O regulador afirmou que essas lacunas aumentaram o risco de acesso a informações dos clientes e contribuíram para o impacto da violação.
O regulador também citou questões de retenção de dados, dizendo que as empresas não limitaram adequadamente quanto tempo as informações pessoais foram armazenadas, incluindo dados vinculados a antigos clientes. Sob o GDPR, as organizações são obrigadas a manter dados pessoais apenas pelo tempo necessário e a aplicar salvaguardas técnicas e organizacionais apropriadas para protegê-los.
A CNIL afirmou que as multas refletem o número de pessoas afetadas e a sensibilidade de algumas das informações expostas. O regulador afirmou que a decisão visa reforçar os requisitos para que os provedores de telecomunicações protejam os dados dos clientes e garantam que os controles de segurança essenciais sejam aplicados de forma consistente.
Free e Free A Mobile não anunciou se irá recorrer. A CNIL afirmou que a ação de fiscalização segue seu processo padrão para investigar violações e aplicar penalidades quando as obrigações de segurança e conformidade não são cumpridas.