Независимый французский административный регулирующий орган CNIL (Национальная комиссия по информатике и свободе) оштрафовал Free Mobile Free на сумму в сумме 42 миллиона евро за сбои в безопасности, связанные с крупной утечкой данных клиентов. Регулятор заявил, что расследование выявило недостатки в том, как компании защищали персональные данные, что способствовало масштабу инцидента.
CNIL наложил штраф в размере €27 миллионов на Free Mobile и штраф в размере €15 миллионов на Free . Штрафы касаются утечки, раскрытой в 2024 году, когда злоумышленник получил доступ к внутренним системам и получил личную информацию, связанную с миллионами подписчиков. CNIL сообщила, что раскрытые данные включали идентификаторы клиентов и другие данные счета, а в некоторых случаях — банковские счета, такие как IBAN.
Ранее компании заявляли, что вторжение связано с несанкционированным доступом к инструменту управления абонентами. Тогда они заявили, что пароли и номера банковских карт не были изменены. Последующая проверка CNIL была сосредоточена на том, были ли приняты соответствующие меры безопасности до инцидента и выполнили ли компании свои обязательства по европейскому законодательству о защите данных.
CNIL сообщил, что расследование выявило слабые места в контроле доступа и мониторинге. В ней отмечается, что процедуры аутентификации и безопасности недостаточно надёжны для предотвращения несанкционированного доступа, а меры обнаружения недостаточно сильны для быстрого выявления подозрительной активности. Регулятор отметил, что эти пробелы увеличивают риск доступа к информации клиентов и способствуют последствиям утечки.
Регулятор также сослался на проблемы с хранением данных, заявив, что компании недостаточно ограничивали длительность хранения личной информации, включая данные, связанные с бывшими клиентами. Согласно GDPR, организации обязаны хранить персональные данные только столько, сколько это необходимо, и применять соответствующие технические и организационные меры защиты для их защиты.
CNIL заявила, что штрафы отражают количество пострадавших и чувствительность части раскрытой информации. Регулятор заявил, что это решение направлено на усиление требований к телекоммуникационным провайдерам по защите данных клиентов и обеспечения последовательного применения основных мер безопасности.
Free и Free Mobile пока не объявила, будут ли они обжаловать. CNIL заявила, что меры по обеспечению соблюдения следуют стандартной процедуре расследования нарушений и применения штрафов, если обязательства по безопасности и соблюдению требований не выполняются.