Francuska Komisja ds. Wolności i Informatyki (francuski organ ochrony danych – dalej CNIL), nałożyła karę w wysokości 50 000 euro na spółkę Dailymotion za niewystarczające zabezpieczenie danych użytkowników zapisanych na portal społecznościowy, zawierający pliki wideo.
W grudniu 2016 roku, opublikowano artykuł w prasie dotyczący znacznego wycieku danych
z platformy Dailymotion. W toku kontroli przeprowadzonej w siedzibie spółki, wskazała ona, że naruszenie ochrony danych nastąpiło wskutek wieloetapowego ataku oraz dotknęło ono 82,5 miliony adresów e-mail, jak również 18,3 miliona zaszyfrowanych haseł.
Z przekazanych informacji wynikało, że atakującym udało się uzyskać dostęp do danych konta administratora (systemu) bazy danych spółki, przechowywanych w niezaszyfrowanej formie na platformie oprogramowania do pracy grupowej w obszarze rozwoju – „Github”. Następnie atakujący wykorzystali podatność zidentyfikowaną w kodzie oprogramowania platformy Dailymotion poprzez „Github”. Podatność ta pozwoliła im na skorzystanie z konta administratora w celu uzyskania zdalnego dostępu do bazy danych spółki oraz uzyskania danych osobowych użytkowników.
CNIL działająca w ograniczonym składzie (jedna z form działania organu), nałożyła karę w wysokości 50 000 euro, oceniając że spółka nie spełniła swojego obowiązku zabezpieczenia danych osobowych, nie zapewniając zgodności z art. 34 ustawy dotyczącej informatyki oraz wolności.
Mając na uwadze, że atak na spółkę był skomplikowany, CNIL podniósł jednak, że atak by się nie powiódł, gdyby zastosowano pewne podstawowe środki w dziedzinie bezpieczeństwa. Wydając decyzję, CNIL wziął pod uwagę, że dostęp został uzyskany jedynie do adresów poczty elektronicznej oraz zaszyfrowanych haseł.
CNIL podkreślił ponadto, że:
- spółka nie musiała przechowywać w niezaszyfrowanej formie w swoim kodzie źródłowym identyfikatorów konta administratora;
- w przypadku gdy osoby zewnętrzne w stosunku do spółki łączyły się zdalnie z wewnętrzną siecią internetową musiały łączyć się za pośrednictwem systemu filtrującego adresy IP lub za pośrednictwem wirtualnej sieci prywatnej (VPN).
W związku z dużą liczbą danych, których dotyczyło postępowanie oraz koniecznością uczulenia administratora, CNIL zdecydował się upublicznić swoją decyzję.
