Recentemente, o Gabinete do Comissário Britânico de Informações multou o Yahoo por não conformidade com a Lei de Proteção de Dados de 1998. O motivo foi o vazamento de dados pessoais de 500 mil cidadãos britânicos, ocorridos em 2014. Nós conversamos sobre essa situação.
/ Flickr / Catálogo de ações / CC BYComo isso aconteceu
Em 2014, os invasores invadiram os servidores do Yahoo e roubaram as credenciais de meio milhão de usuários, incluindo números de telefone, aniversários, senhas, perguntas e respostas para recuperação de contas. O roubo ficou
conhecido depois que uma pessoa sob o apelido de Peace, conhecida por "despejar" os dados dos usuários do Myspace e LinkedIn, começou a vender abertamente a base do Yahoo por apenas 3 bitcoins. O anúncio apareceu na Darknet em 2016, mas o invasor disse que havia roubado parte dos dados em 2012 e que já havia vendido em segredo.
Durante a investigação, na qual o FBI também estava
envolvido ,
o Yahoo descobriu o hack imediatamente após o incidente (no final de 2014), mas
preferiu permanecer em silêncio até setembro de 2016. De acordo com o novo regulamento (GDPR), as organizações não poderão mais esconder vazamentos do público por tanto tempo. Os artigos
33 e
34 do novo regulamento obrigam as empresas a notificar as autoridades de supervisão e os proprietários de DP dentro de 72 horas após a detecção de um vazamento. Por não conformidade com essa regra, o GDPR prevê multas multimilionárias (artigo
83 , parágrafo 4).
Nos EUA, eles também reduziram o prazo para notificação.
Por exemplo, no Colorado em setembro deste ano, todas as organizações deverão relatar um vazamento de dados dentro de 30 dias (o menor tempo em todos os estados). Em 2017, outros oito estados atualizaram as políticas de notificação de vazamento de dados. Em média (nos EUA), um período de notificação de vazamento de dados é de 45 dias.
No caso do Yahoo, a empresa é acusada de ter:
- não pôde garantir a segurança dos dados 515 121 usuários;
- não trouxe o processo de processamento de PD de acordo com os regulamentos;
- por um longo tempo não relatou "buracos" detectados e vazamentos.
Como resultado, o Escritório do Comissário Britânico de Informações decidiu que o Yahoo violava a sétima regra da primeira parte do DPA de 1998, que declara "a necessidade de tomar medidas técnicas e organizacionais apropriadas para impedir o processamento não autorizado ou ilegal de dados pessoais, bem como a perda acidental, danos e exclusão". " De acordo com a Seção 55A da DPA de 1998, a multa máxima a ser paga nesse caso é de 500 mil libras. Apesar do fato de o Escritório levar em consideração circunstâncias atenuantes (indicadas na página 12 no parágrafo 44 do
julgamento do Yahoo, entre as quais o comissário destacou a complexidade do ataque cibernético, a disposição da empresa de cooperar com funcionários do governo e outros), não há como escapar da multa da empresa.
Casos semelhantes
Um caso semelhante
ocorreu com a empresa britânica TalkTalk, que foi invadida em outubro de 2015. Os invasores tiveram acesso às informações pessoais de 150 mil clientes do provedor, incluindo dados financeiros confidenciais de 15 mil pessoas.
Os criminosos escolheram a implementação do código SQL como uma maneira de invadir e um representante do Office
observou que os métodos de proteção contra ataques desse tipo já foram desenvolvidos. Além disso, o TalkTalk recebeu 2 "avisos" antes do grande "dreno" - ataques em julho e setembro de 2015 que exploraram uma vulnerabilidade semelhante. Portanto, o Escritório
considerou que o TalkTalk "poderia ter evitado o ataque se eles tivessem adotado medidas básicas para proteger os dados dos clientes" e fixou uma multa de 400 mil libras à empresa.
O varejista Carphone Warehouse, com sede em Londres, foi
multado no mesmo valor. As vítimas eram 3 milhões de clientes: os cibercriminosos obtiveram acesso a seus nomes, endereços, números de telefone, datas de nascimento, status familiar e histórico de pagamentos com cartão de crédito.
A causa do vazamento de dados
foi um software desatualizado. A investigação também revelou que a empresa não realizou testes padrão de sistemas de segurança. Como no caso do Yahoo, o Gabinete do Comissário Britânico de Informações
considerou tal negligência uma violação grave da sétima regra do DPA de 1998 e fixou o Carphone Warehouse bem próximo do máximo.
O que vem a seguir
James Dipple-Johnstone, vice-comissário de Operações da OIC, em um post no blog do Yahoo,
observa que as pessoas confiam nas empresas com seus dados na esperança de que suas informações pessoais não caiam nas mãos de terceiros . No entanto, nem todas as empresas levam a sério a proteção de dados de seus clientes. Em tais situações, os representantes da lei são forçados a abordar o assunto.
/ Flickr / Willi Heidelbach / CC BYSe as organizações não conseguirem fornecer proteção adequada aos dados pessoais de seus clientes, poderão procurar trabalho em algum lugar fora da UE, afirmou o vice-comissário.
O Escritório entende que os ataques cibernéticos continuarão a ocorrer e os métodos dos cibercriminosos se tornarão ainda mais sofisticados, mas exigem o máximo esforço das organizações para proteger os dados de seus clientes.
Como
enfatiza a comissária britânica de proteção à informação, Elizabeth Denham, "as empresas devem fazer mais do que apenas fechar a porta". Eles devem trancá-lo e checá-lo constantemente. Eles também devem lembrar que é inútil trancar a porta, deixando a chave embaixo do tapete ".
PS O que mais estamos escrevendo no blog corporativo da 1cloud: