La formazione ristretta della CNIL ha recentemente sanzionato 150.000 euro e 75.000 euro un titolare del trattamento e il suo subappaltatore per non aver adottato misure soddisfacenti per affrontare gli attacchi di credential stuffing sul sito web.
Tra giugno 2018 e gennaio 2020, la CNIL ha ricevuto dozzine di notifiche di violazioni dei dati personali relative a un sito Web da cui diversi milioni di clienti effettuano regolarmente acquisti. La CNIL ha deciso di effettuare controlli sul titolare del trattamento e sul suo subappaltatore, a cui è stata affidata la gestione di questo sito web.
Durante le sue indagini, la CNIL ha notato che il sito web in questione aveva subito numerose ondate di attacchi di credential stuffing . In questo tipo di attacco, un utente malintenzionato recupera elenchi di identificatori “chiari” e password pubblicati su Internet, generalmente a seguito di una violazione dei dati. Supponendo che gli utenti utilizzino spesso la stessa password e lo stesso identificatore (indirizzo di posta elettronica) per diversi servizi, l’attaccante, grazie ai “bot”, tenterà un gran numero di connessioni ai siti. Quando l’autenticazione ha successo, gli consente di vedere le informazioni associate agli account in questione.
La CNIL ha osservato che gli aggressori sono stati così in grado di prendere nota delle seguenti informazioni: cognome, nome, indirizzo e-mail e data di nascita dei clienti, ma anche numero e saldo della loro carta fedeltà e informazioni relative ai loro ordini.
Misure di sicurezza insufficienti
Il comitato ristretto – l’organo competente della CNIL per la pronuncia delle sanzioni – ha ritenuto che le due società fossero venute meno all’obbligo di preservare la sicurezza dei dati personali dei clienti, previsto dall’articolo 32 del GDPR.
In effetti, le aziende hanno tardato a mettere in atto misure per combattere efficacemente questi ripetuti attacchi. Avevano deciso di concentrare la loro strategia di risposta sullo sviluppo di uno strumento per rilevare e bloccare gli attacchi lanciati dai robot. Tuttavia, lo sviluppo di questo strumento ha richiesto un anno dai primi attacchi.
Tuttavia, nel frattempo, si sarebbero potute prendere in considerazione diverse altre misure che producessero effetti più rapidi al fine di prevenire ulteriori attacchi o mitigare le conseguenze negative per le persone, come:
- limitare il numero di richieste consentite per indirizzo IP sul sito web, che avrebbe potuto rallentare la velocità con cui venivano effettuati gli attacchi;
- la comparsa di un CAPTCHA dal primo tentativo di autenticare gli utenti sul proprio account, molto difficile da aggirare per un robot.
A seguito di questa mancanza di diligenza, i dati di circa 40.000 clienti del sito web sono stati resi accessibili a terzi non autorizzati tra marzo 2018 e febbraio 2019.
Sanzioni pronunciate dalla formazione ristretta
Conseguentemente, il comitato ristretto ha emesso due distinte sanzioni – 150.000 euro al titolare del trattamento e 75.000 euro al subappaltatore – in relazione alla rispettiva responsabilità. In effetti, ha sottolineato che il responsabile del trattamento dei dati deve decidere di attuare misure e dare istruzioni documentate al suo subappaltatore. Ma il subappaltatore deve anche cercare le soluzioni tecniche e organizzative più appropriate per garantire la sicurezza dei dati personali e offrirle al responsabile del trattamento.
Il comitato ristretto non ha deciso di rendere pubbliche queste deliberazioni. Tuttavia, desidera comunicare su queste decisioni per allertare i professionisti sulla necessità di rafforzare la loro vigilanza sugli attacchi di credential stuffing e sviluppare, insieme al loro subappaltatore, misure sufficienti per garantire la protezione dei dati personali.