Récemment, le Bureau du Commissaire à l'information britannique a infligé une amende à Yahoo pour non-respect de la loi de 1998 sur la protection des données. La raison en était la fuite de données personnelles de 500 mille citoyens britanniques, qui s'est produite en 2014. Nous parlons de cette situation.
/ Flickr / Catalogue de Stock / CC BYComment est-ce arrivé
En 2014, les attaquants ont piraté les serveurs Yahoo et volé les informations d'identification d'un demi-million d'utilisateurs, y compris les numéros de téléphone, les dates de naissance, les mots de passe, les questions de récupération de compte et les réponses. Le vol est devenu
connu après qu'une personne sous le surnom de Peace, connu pour avoir "vidé" les données des utilisateurs de Myspace et de LinkedIn, a commencé à vendre ouvertement Yahoo base pour seulement 3 bitcoins. L'annonce est apparue sur Darknet en 2016, mais l'attaquant a déclaré qu'il avait volé une partie des données en 2012 et l'avait précédemment vendue en secret.
Au cours de l'enquête, à laquelle le FBI était également
impliqué ,
il s'est avéré que Yahoo a été informé du piratage immédiatement après l'incident (fin 2014), mais a
préféré garder le silence jusqu'en septembre 2016. Selon le nouveau règlement (RGPD), les organisations ne pourront plus cacher les fuites au public pendant si longtemps. Les articles
33 et
34 du nouveau règlement obligent les entreprises à informer les autorités de contrôle et les titulaires de DP dans les 72 heures suivant la détection d'une fuite. En cas de non-respect de cette règle, le RGPD prévoit des amendes de plusieurs millions de dollars (article
83 , paragraphe 4).
Aux États-Unis, ils ont également réduit le délai de notification.
Par exemple, au Colorado en septembre, toutes les organisations seront tenues de signaler une fuite de données dans les 30 jours (le délai le plus court dans tous les États). En 2017, 8 autres États ont mis à jour leurs politiques de notification des fuites de données. En moyenne (aux États-Unis), une période de notification de fuite de données est de 45 jours.
Dans le cas de Yahoo, l'entreprise est accusée d'avoir:
- n'a pas pu assurer la sécurité des données 515 121 utilisateurs;
- n'a pas mis le processus de traitement PD en conformité avec la réglementation;
- pendant longtemps n'a pas signalé de "trous" détectés et de fuites.
En conséquence, le Bureau du Commissaire à l'information britannique pour l'information a décidé que Yahoo violait la septième règle de la première partie de la DPA de 1998, qui stipule «la nécessité de prendre des mesures techniques et organisationnelles appropriées pour empêcher le traitement non autorisé ou illégal de données personnelles, ainsi que leur perte accidentelle, les dommages et la suppression ". Selon l'article 55A de la DPA 1998, l'amende maximale à payer dans un tel cas est de 500 000 livres. Malgré le fait que le Bureau ait pris en compte des circonstances atténuantes (indiquées à la page 12 au paragraphe 44 de l'
arrêt Yahoo, parmi lesquelles le commissaire a souligné la complexité de la cyberattaque, la volonté de l'entreprise de coopérer avec des représentants du gouvernement et d'autres), il n'y a aucune échappatoire à l'amende de l'entreprise.
Cas similaires
Un cas similaire
s'est produit avec la société britannique TalkTalk, qui a été piratée en octobre 2015. Les attaquants ont eu accès aux informations personnelles de 150 000 clients du fournisseur, y compris les données financières confidentielles de 15 000 personnes.
Les criminels ont choisi la mise en œuvre du code SQL comme moyen de piratage, et un représentant du Bureau a
noté que les méthodes de protection contre les attaques de ce type étaient développées depuis longtemps. En outre, TalkTalk a reçu 2 «avertissements» avant les principaux «drain» - attaques en juillet et septembre 2015 qui exploitaient une vulnérabilité similaire. Par conséquent, le Bureau a
estimé que TalkTalk «aurait pu empêcher l'attaque s'il avait pris des mesures de base pour protéger les données des clients» et a fixé à l'entreprise une amende de 400 000 £.
Le détaillant Carphone Warehouse, dont le siège est à Londres, a été
condamné à une amende du même montant. Les victimes étaient 3 millions de clients: les cybercriminels ont eu accès à leurs noms, adresses, numéros de téléphone, dates de naissance, situation familiale et historique de paiement par carte de crédit.
La cause de la fuite de données
était un logiciel obsolète. L'enquête a également révélé que l'entreprise n'avait pas effectué de test standard des systèmes de sécurité. Comme dans le cas de Yahoo, le Bureau du Commissaire à l'information britannique a
considéré cette négligence comme une violation grave de la septième règle de la DPA de 1998 et a fixé l'amende Carphone Warehouse au maximum.
Et ensuite
James Dipple-Johnstone, sous-commissaire pour les opérations ICO, dans un article de blog sur l'affaire Yahoo,
note que les gens font confiance aux entreprises avec leurs données dans l'espoir que leurs informations personnelles ne tomberont pas entre les mains de tiers . Cependant, toutes les entreprises ne prennent pas au sérieux la protection des données de leurs clients. Dans de telles situations, les représentants de la loi sont obligés de se saisir de l'affaire.
/ Flickr / Willi Heidelbach / CC BYSi les organisations ne sont pas en mesure d'assurer une protection adéquate des données personnelles de leurs clients, elles peuvent chercher du travail quelque part en dehors de l'UE, a déclaré le commissaire adjoint.
Le Bureau comprend que les cyberattaques continueront de se produire et que les méthodes des cybercriminels deviendront encore plus sophistiquées, mais nécessitent un maximum d'efforts de la part des organisations pour protéger les données de leurs clients.
Comme le souligne la commissaire britannique à la protection de l'information, Elizabeth Denham, «les entreprises doivent faire plus que simplement fermer la porte». Ils doivent le verrouiller et le vérifier constamment. Ils doivent également se rappeler qu'il est inutile de verrouiller la porte, laissant la clé sous le tapis. "
PS Quoi d'autre écrivons-nous sur le blog d'entreprise de 1cloud: