GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

CNIL nałożyła karę 50 000 EURO za brak zabezpieczenia danych użytkowników

CNIL nałożyła karę 50 000 EURO za brak zabezpieczenia danych użytkowników

Francuska Komisja ds. Wolności i Informatyki (francuski organ ochrony danych – dalej CNIL), nałożyła karę w wysokości 50 000 euro na spółkę Dailymotion za niewystarczające zabezpieczenie danych użytkowników zapisanych na portal społecznościowy, zawierający pliki wideo. 

W grudniu 2016 roku, opublikowano artykuł w prasie dotyczący znacznego wycieku danych
z platformy Dailymotion. W toku kontroli przeprowadzonej w siedzibie spółki, wskazała ona, że naruszenie ochrony danych nastąpiło wskutek wieloetapowego ataku oraz dotknęło ono 82,5 miliony adresów e-mail, jak również 18,3 miliona zaszyfrowanych haseł.

Z przekazanych informacji wynikało, że atakującym udało się uzyskać dostęp do danych konta administratora (systemu) bazy danych spółki, przechowywanych w niezaszyfrowanej formie na platformie oprogramowania do pracy grupowej w obszarze rozwoju – „Github”. Następnie atakujący wykorzystali podatność zidentyfikowaną w kodzie oprogramowania platformy Dailymotion poprzez „Github”. Podatność ta pozwoliła im na skorzystanie z konta administratora w celu uzyskania zdalnego dostępu do bazy danych spółki oraz uzyskania danych osobowych użytkowników.

CNIL działająca w ograniczonym składzie (jedna z form działania organu), nałożyła karę w wysokości 50 000 euro, oceniając że spółka nie spełniła swojego obowiązku zabezpieczenia danych osobowych, nie zapewniając zgodności z art. 34 ustawy dotyczącej informatyki oraz wolności.

Mając na uwadze, że atak na spółkę był skomplikowany, CNIL podniósł jednak, że atak by się nie powiódł, gdyby zastosowano pewne podstawowe środki w dziedzinie bezpieczeństwa. Wydając decyzję, CNIL wziął pod uwagę, że dostęp został uzyskany jedynie do adresów poczty elektronicznej oraz zaszyfrowanych haseł.

CNIL podkreślił ponadto, że:

W związku z dużą liczbą danych, których dotyczyło postępowanie oraz koniecznością uczulenia administratora, CNIL zdecydował się upublicznić swoją decyzję.