Recientemente, la Oficina del Comisionado de Información Británico multó a Yahoo por incumplimiento de la Ley de Protección de Datos de 1998. La razón fue la filtración de datos personales de 500 mil ciudadanos británicos, que ocurrió en 2014. Hablamos de esta situación.
/ Flickr / Catálogo de existencias / CC BYComo sucedio
En 2014, los atacantes piratearon los servidores de Yahoo y robaron las credenciales de medio millón de usuarios, incluidos números de teléfono, cumpleaños, contraseñas, preguntas de recuperación de cuentas y respuestas a ellos. El robo se dio a
conocer después de que una persona bajo el apodo de Peace, conocida por "deshacerse" de los datos de los usuarios de Myspace y LinkedIn, comenzó a vender abiertamente la base de Yahoo por solo 3 bitcoins. El anuncio apareció en Darknet en 2016, pero el atacante dijo que había robado parte de los datos en 2012 y que anteriormente los había vendido en secreto.
Durante la investigación, en la que también
participó el FBI,
resultó que Yahoo se enteró del hackeo inmediatamente después del incidente (a fines de 2014), pero
prefirió permanecer en silencio hasta septiembre de 2016. Según la nueva regulación (GDPR), las organizaciones ya no podrán esconde las filtraciones del público por tanto tiempo. Los artículos
33 y
34 del nuevo reglamento obligan a las empresas a notificar a las autoridades de supervisión y a los propietarios de DP dentro de las 72 horas de detectar una fuga. Por incumplimiento de esta regla, el GDPR establece multas multimillonarias (Artículo
83 , párrafo 4).
En los Estados Unidos, también redujeron el plazo para la notificación.
Por ejemplo, en Colorado este septiembre, todas las organizaciones deberán informar una fuga de datos dentro de los 30 días (el tiempo más corto en todos los estados). En 2017, otros 8 estados actualizaron las políticas de notificación de fuga de datos. En promedio (en los EE. UU.), Un período de notificación de pérdida de datos es de 45 días.
En el caso de Yahoo, la compañía está acusada de tener:
- no pudo garantizar la seguridad de los datos 515 121 usuarios;
- no trajo el proceso de procesamiento PD de acuerdo con las regulaciones;
- durante mucho tiempo no informó detectado "agujeros" y fugas.
Como resultado, la Oficina del Comisionado de Información Británica de Información decidió que Yahoo violó la séptima regla de la primera parte del DPA de 1998, que establece "la necesidad de tomar medidas técnicas y organizativas apropiadas para evitar el procesamiento no autorizado o ilegal de datos personales, así como su pérdida accidental, daño y eliminación". ". De acuerdo con la Sección 55A de la DPA 1998, la multa máxima a pagar en tal caso es de 500 mil libras. A pesar del hecho de que la Oficina tuvo en cuenta circunstancias atenuantes (indicadas en la página 12 en el párrafo 44 de la
sentencia de Yahoo, entre las cuales el comisionado destacó la complejidad del ciberataque, la voluntad de la compañía de cooperar con los funcionarios del gobierno y otros), no hay escapatoria de la multa de la compañía.
Casos similares
Un caso similar
ocurrió con la compañía británica TalkTalk, que fue pirateada en octubre de 2015. Los atacantes obtuvieron acceso a la información personal de 150 mil clientes del proveedor, incluidos los datos financieros confidenciales de 15 mil personas.
Los delincuentes eligieron la implementación del código SQL como una forma de piratería, y un representante de la Oficina
señaló que los métodos de protección contra ataques de este tipo se han desarrollado durante mucho tiempo. Además, TalkTalk recibió 2 “advertencias” antes del gran “drenaje”: ataques en julio y septiembre de 2015 que explotaron una vulnerabilidad similar. Por lo tanto, la Oficina
consideró que TalkTalk "podría haber evitado el ataque si hubieran tomado medidas básicas para proteger los datos de los clientes" y le impuso a la compañía una multa de £ 400 mil.
El minorista Carphone Warehouse, con sede en Londres, fue
multado con la misma cantidad. Las víctimas fueron 3 millones de clientes: los ciberdelincuentes obtuvieron acceso a sus nombres, direcciones, números de teléfono, fechas de nacimiento, estado familiar e historial de pagos con tarjeta de crédito.
La causa de la fuga de datos
fue un software desactualizado. La investigación también reveló que la compañía no realizó pruebas estándar de los sistemas de seguridad. Como en el caso de Yahoo, la Oficina del Comisionado de Información británico
consideró que tal negligencia era una violación grave de la séptima regla de DPA de 1998 y fijó la multa de Carphone Warehouse cerca del máximo.
Que sigue
James Dipple-Johnstone, Comisionado Adjunto de Operaciones de ICO, en una publicación de blog sobre el caso de Yahoo,
señala que las personas confían en las empresas con sus datos con la esperanza de que su información personal no caiga en manos de terceros . Sin embargo, no todas las empresas toman en serio la protección de datos de sus clientes. En tales situaciones, los representantes de la ley se ven obligados a abordar el asunto.
/ Flickr / Willi Heidelbach / CC BYSi las organizaciones no pueden proporcionar la protección adecuada para los datos personales de sus clientes, pueden buscar trabajo en algún lugar fuera de la UE, dijo el comisionado adjunto.
La Oficina entiende que los ataques cibernéticos continuarán ocurriendo, y los métodos de los ciberdelincuentes se volverán aún más sofisticados, pero requieren el máximo esfuerzo de las organizaciones para proteger los datos de sus clientes.
Como
enfatiza la comisionada británica de protección de la información, Elizabeth Denham, "las empresas deben hacer más que simplemente cerrar la puerta". Deben bloquearlo y verificarlo constantemente. También deben recordar que es inútil cerrar la puerta con llave, dejando la llave debajo de la alfombra ".
PD: ¿Qué más estamos escribiendo en el blog corporativo de 1cloud: