logo-print

Προσωπικά δεδομένα: Πρόστιμο 587.000 ευρώ σε εταιρεία πώλησης ηλεκτρονικών ειδών για ανεπαρκή μέτρα ασφαλείας

Εγκατάσταση κακόβουλου λογισμικού σε 5.390 ταμειακές μηχανές εντός καταστημάτων οδήγησε σε διαρροή δεδομένων για 9 μήνες προτού γίνει αντιληπτή

14/01/2020

12/02/2020

Πρόστιμο ύψους 500.000 βρετανικών λιρών (περίπου 587.000 ευρώ) επέβαλε η αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου (Γραφείο Επιτρόπου Πληροφόρησης - ICO) σε μεγάλη εταιρεία πώλησης ηλεκτρονικών ειδών, εξαιτίας παραβίασης πληροφοριακού συστήματος σημείων πώλησης, ως αποτέλεσμα κυβερνοεπίθεσης, η οποία επηρέασε τουλάχιστον 14 εκατομμύρια ανθρώπους.

Από την έρευνα του ICO διαπιστώθηκε ότι οι εισβολείς εγκατέστησαν κακόβουλο λογισμικό σε 5.390 μηχανήματα (tills) σε καταστήματα Currys PC World και Dixons Travel της DSG από τον Ιούλιο του 2017 έως τον Απρίλιο του 2018, συλλέγοντας προσωπικά δεδομένα για εννέα μήνες προτού η επίθεση γίνει αντιληπτή.

Διαβάστε επίσης: Εγχειρίδιο για την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων

Η αποτυχία της εταιρείας να εγγυηθεί την ασφάλεια του συστήματος επέτρεψε τη μη εξουσιοδοτημένη πρόσβαση σε 5,6 εκατομμύρια στοιχεία καρτών πληρωμής που χρησιμοποιήθηκαν σε συναλλαγές και σε προσωπικές πληροφορίες περίπου 14 εκατομμυρίων ατόμων, συμπεριλαμβανομένων πλήρων ονομάτων, ταχυδρομικών κωδικών, διευθύνσεων ηλεκτρονικού ταχυδρομείου και αποτυχημένων ελέγχων πίστωσης από εσωτερικούς διακομιστές.

Η βρετανική αρχή έκρινε ότι η DSG παραβίασε τη νομοθεσία περί προστασίας δεδομένων, εφαρμόζοντας ανεπαρκή μέτρα ασφαλείας και παραλείποντας να λάβει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων (τρωτά σημεία, όπως ανεπαρκής επιδιόρθωση λογισμικού, απουσία firewall και έλλειψη διαχωρισμού δικτύου και τακτικών δοκιμών ασφαλείας).

Αξίζει να σημειωθεί ότι τον Ιανουάριο του 2018, η Αρχή επέβαλε πρόστιμο 400.000 βρετανικών λιρών στην Carphone Warehouse, η οποία ανήκει στον ίδιο όμιλο εταιρειών για παρόμοια προβλήματα ασφαλείας.

Η βρετανική Αρχή θεώρησε ότι τα προσωπικά δεδομένα που διέρευσαν θα επηρέαζαν σημαντικά την ιδιωτική ζωή των ατόμων, αφήνοντας τους πελάτες ευάλωτους σε κινδύνους.

Η Αρχή έλαβε 158 καταγγελίες μεταξύ Ιουνίου και Νοεμβρίου 2018 από τους πελάτες της DSG, ενώ τον Μάρτιο του 2019, η εταιρεία ανέφερε ότι περίπου 3.300 πελάτες τους είχαν έρθει απευθείας σε επαφή μαζί τους για σχετικές παραβιάσεις δεδομένων.

Σύνδεση στο Lawspot

Enter your e-mail address or username.
Enter the password that accompanies your e-mail.
Ξεχάσατε τον κωδικό σας;
logo

Δεν έχετε λογαριασμό;

Μπορείτε να εγγραφείτε στο Lawspot ανεξαρτήτως ιδιότητας, ως δικηγόρος, συμβολαιογράφος ή και απλός χρήστης, συμπληρώνοντας τη σχετική φόρμα εδώ.

Αν είστε δικηγόρος, με την εγγραφή σας στο Lawspot.gr κερδίζετε σημαντικά οφέλη. Δείτε αναλυτικές πληροφορίες εδώ.