Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt ett företag och dess underleverantörer med 150 000 euro och 75 000 euro för brott mot artikel 32 i dataskyddsförordningen (”GDPR”).
Av beslutet framgår att företaget och dess underleverantör inte vidtagit tillräckliga åtgärder mot att förhindra stulna inloggningsattacker (credential stuffing attacks) på företagets webbplats. Mellan juni 2018 och januari 2020 fick CNIL flera meddelanden om dataintrång relaterade till en webbplats där flera miljoner kunder regelbundet handlar. Som svar beslutade CNIL att utreda företaget och dess underleverantör som anförtrotts driften av denna webbplats.
Under sina undersökningar fann CNIL att webbplatsen i fråga hade utsatts för ett flertal inloggningsattacker. I denna typ av attacker får en obehörig person listor över “okrypterade” identifierare och lösenord som publicerats på internet, vanligtvis efter ett dataintrång. Förutsatt att användare ofta använder samma lösenord och användarnamn (e-postadress) för olika tjänster, använder angriparen “bots” som försöker logga in på ett stort antal webbplatser. Om autentiseringen lyckas kan angriparen se informationen som är associerad med dessa konton. Enligt CNIL har angriparna fått tillgång till följande information: efternamn, förnamn, e-postadress och födelsedatum för kunder, liksom deras lojalitetskortnummer, samt saldo och information relaterade till deras beställningar.
CNIL anser att de två företagen brutit mot sina skyldigheter att upprätthålla säkerheten för kundernas personuppgifter enligt artikel 32 i GDPR. Enligt CNIL har företagen vidtagit alltför långsamma åtgärder för att effektivt bekämpa dessa upprepade attacker, då de beslutat att fokusera sin svarsstrategi på att utveckla ett verktyg för att upptäcka och blockera attacker som utfördes av robotar. Utvecklingen av detta verktyg tog dock ett år från de första attackerna. Under denna tid kunde företagen dock ha övervägt ett antal andra åtgärder med snabbare påverkan för att förhindra ytterligare attacker eller mildra den negativa påverkan på webbplatskunderna. Som ett resultat av denna bristande noggrannhet gjordes uppgifter om cirka 40 000 webbplatskunder tillgängliga för obehöriga tredje parter mellan mars 2018 och februari 2019.
Du kan läsa pressmeddelandet, endast tillgänglig på franska, här.