La Autoridad Nacional de Supervisión del Tratamiento de Datos Personales completó, en octubre de 2024, una investigación en el operador Altex Rumania SA y constató una violación de lo dispuesto en el art. 32 párr. (1) encendido. b) y del art. 32 párr. (2) del Reglamento (UE) 2016/679 (GDPR).
Como tal, el operador fue multado con 99.516 lei, el equivalente a 20.000 euros.
La investigación se inició como resultado del hecho de que Altex Rumania SA presentó dos notificaciones a la Autoridad Nacional de Supervisión sobre la ocurrencia de violaciones de seguridad de datos personales, de la siguiente manera:
a) El operador fue informado por correo electrónico por un tercero sobre el hecho de que algunas cuentas de los clientes del operador fueron publicadas en una plataforma, resultando afectados los datos personales de un gran número de personas interesadas, respectivamente: nombre, apellido, correo electrónico, Contraseña de la cuenta altex.ro, información disponible en la cuenta del cliente, como la dirección de entrega, no. teléfono, historial de pedidos, datos relacionados con las tarjetas con las que se realiza el pago online, comunicaciones en la relación con el operador;
b) el operador descubrió que fue víctima de un ataque informático de «credential Stuffing», mediante repetidos intentos de validar las contraseñas de algunas cuentas de clientes para realizar pedidos de tarjetas de regalo; Se precisó que se vieron afectados los siguientes datos personales, para un número aproximadamente significativo de interesados: datos de identificación para el inicio de sesión en la cuenta del cliente: nombre, apellidos, dirección de correo electrónico, contraseña de acceso a la cuenta del cliente, datos financieros relacionados con las tarjetas bancarias registradas en el aplicación/sitio.
Durante la investigación se descubrió que el operador Altex Rumania SA no implementó medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad correspondiente al riesgo presentado por el procesamiento, con el fin de evitar el acceso ilegal a las cuentas de los clientes del operador. Esto provocó el acceso no autorizado a los datos personales de un gran número de clientes del operador mediante dos ataques informáticos distintos que implicaron la apropiación de algunas cuentas.
Al mismo tiempo, de conformidad con el art. 58 párr. (2) iluminado. d) a partir del Reglamento (UE) 2016/679, se ordenaron las siguientes medidas correctoras :
– La implementación técnica y procesal de las siguientes medidas para reducir el riesgo de violación de la confidencialidad de los datos personales a través de un ataque informático a las plataformas de autenticación en las cuentas de los clientes en todos los sitios/aplicaciones de comercio electrónico administrados: notificación de inicio de sesión de nuevo dispositivo, cuenta de visualización del dispositivo inicios de sesión, política de complejidad e historial de contraseñas en todas las cuentas de clientes con un intervalo de vencimiento preestablecido;
– Implementación técnica y procedimental de un sistema de monitoreo del tráfico entrante y saliente de Internet (entrante/saliente) ejecutado en plataformas de autenticación en cuentas de clientes en todos los sitios/aplicaciones de comercio electrónico administrados.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18.11.2024&lang=ro