Francuska Komisja ds. Wolności i Informatyki (francuski organ ochrony danych – dalej CNIL), nałożyła karę w wysokości 50 000 euro na spółkę Dailymotion za niewystarczające zabezpieczenie danych użytkowników zapisanych na portal społecznościowy, zawierający pliki wideo. 

W grudniu 2016 roku, opublikowano artykuł w prasie dotyczący znacznego wycieku danych
z platformy Dailymotion. W toku kontroli przeprowadzonej w siedzibie spółki, wskazała ona, że naruszenie ochrony danych nastąpiło wskutek wieloetapowego ataku oraz dotknęło ono 82,5 miliony adresów e-mail, jak również 18,3 miliona zaszyfrowanych haseł.

Z przekazanych informacji wynikało, że atakującym udało się uzyskać dostęp do danych konta administratora (systemu) bazy danych spółki, przechowywanych w niezaszyfrowanej formie na platformie oprogramowania do pracy grupowej w obszarze rozwoju – „Github”. Następnie atakujący wykorzystali podatność zidentyfikowaną w kodzie oprogramowania platformy Dailymotion poprzez „Github”. Podatność ta pozwoliła im na skorzystanie z konta administratora w celu uzyskania zdalnego dostępu do bazy danych spółki oraz uzyskania danych osobowych użytkowników.

CNIL działająca w ograniczonym składzie (jedna z form działania organu), nałożyła karę
w wysokości 50 000 euro, oceniając że spółka nie spełniła swojego obowiązku zabezpieczenia danych osobowych, nie zapewniając zgodności z art. 34 ustawy dotyczącej informatyki oraz wolności.

Mając na uwadze, że atak na spółkę był skomplikowany, CNIL podniósł jednak, że atak by się nie powiódł, gdyby zastosowano pewne podstawowe środki w dziedzinie bezpieczeństwa. Wydając decyzję, CNIL wziął pod uwagę, że dostęp został uzyskany jedynie do adresów poczty elektronicznej oraz zaszyfrowanych haseł.

CNIL podkreślił ponadto, że:

  • spółka nie musiała przechowywać w niezaszyfrowanej formie w swoim kodzie źródłowym identyfikatorów konta administratora;
  • w przypadku gdy osoby zewnętrzne w stosunku do spółki łączyły się zdalnie z wewnętrzną siecią internetową musiały łączyć się za pośrednictwem systemu filtrującego adresy IP lub za pośrednictwem wirtualnej sieci prywatnej (VPN).

W związku z dużą liczbą danych, których dotyczyło postępowanie oraz koniecznością uczulenia administratora, CNIL zdecydował się upublicznić swoją decyzję.

Źródło: https://www.cnil.fr/fr/dailymotion-sanction-de-50000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

Przemysław Sierzputowski