Bağımsız Fransız idari düzenleyici kurum CNIL (Ulusal Bilişim ve Özgürlük Komisyonu), Free büyük bir müşteri veri ihlaliyle bağlantılı güvenlik hataları nedeniyle toplamda 42 milyon € para cezası verdi ve Free Mobile’a ceza verdi. Düzenleyici, soruşturmasının şirketlerin kişisel verileri nasıl korumasında eksiklikler bulduğunu ve bunun olayın büyüklüğüne katkıda bulunduğunu söyledi.
CNIL, Mobile’a Free 27 milyon € para cezası ve 15 milyon € para Free cezası uyguladı. Cezalar, 2024’te bir saldırganın iç sistemlere erişip milyonlarca aboneye bağlı kişisel bilgileri elde ettiği bir ihlale ilgili. CNIL, ortaya çıkan verilerin müşteri kimlikleri ve diğer hesap bilgilerini, bazı durumlarda ise IBAN’lar gibi banka hesap bilgilerini içerdiğini belirtti.
Şirketler daha önce bu müdahalenin abone yönetim aracına yetkisiz erişimle ilgili olduğunu söylemişti. O dönemde şifrelerin ve banka kartı numaralarının etkilenmediğini söylediler. CNIL’in sonraki denetimi, olaydan önce uygun güvenlik önlemlerinin uygulanıp uygulanmadığına ve şirketlerin Avrupa veri koruma yasası kapsamındaki yükümlülüklerini yerine getirip getirmediğine odaklandı.
CNIL, soruşturmanın erişim kontrolleri ve izlemedeki zayıflıkları tespit ettiğini söyledi. Doğrulama ve güvenlik prosedürlerinin yetkisiz erişimi önlemek için yeterince sağlam olmadığını, tespit önlemlerinin şüpheli faaliyetleri hızlıca tespit edecek kadar güçlü olmadığını belirtti. Düzenleyici, bu boşlukların müşteri bilgilerine erişim riskini artırdığını ve ihlalın etkisine katkıda bulunduğunu belirtti.
Düzenleyici ayrıca veri saklama sorunlarını da dile getirerek, şirketlerin eski müşterilere bağlı veriler dahil olmak üzere kişisel bilgilerin ne kadar saklanacağını yeterince sınırlamadığını belirtti. GDPR kapsamında, kuruluşlar kişisel verileri yalnızca gerekli süre saklamak ve onları korumak için uygun teknik ve organizasyonel önlemler uygulamak zorundadır.
CNIL, cezaların etkilenen kişi sayısını ve bazı açığa çıkan bilgilerin hassasiyetini yansıttığını belirtti. Düzenleyici, kararın telekom sağlayıcılarının müşteri verilerini koruma gereksinimlerini güçlendirmeyi ve temel güvenlik kontrollerinin tutarlı şekilde uygulanmasını sağlamayı amaçladığını belirtti.
Free ve Free Mobile itiraz edip etmeyeceğini henüz açıklamadı. CNIL, uygulama işleminin, ihlalleri soruşturma ve güvenlik ile uyum yükümlülükleri yerine getirilmediğinde cezaların uygulanması için standart sürecini takip ettiğini belirtti.