La formación restringida de CNIL recientemente ha sancionado a un responsable del tratamiento y sus encargados por 150.000 euros y 75.000 euros para no haber implementado las medidas satisfactorias para afrontar los ataques de relleno de credencias en el sitio del responsable del tratamiento.
Entre junio 2018 y enero 2020, la CNIL recibió decenas de notificaciones de violaciones de datos personales sobre un sitio web por parte de diferentes millones de clientes que efectúan regularmente compras. La CNIL ha decidido de efectuar controles sobre el responsable y los encargados del tratamiento, a los cuales ha sido confiada la gestión de este sitio web.
Durante las investigaciones, la CNIL ha revelado que el sitio web sufrió numerosos ataques de relleno de credencias. En este tipo de ataque, un hacker recupera listas de ID “claros” y password publicadas en Internet generalmente después de una violación de datos. Suponiendo que los usuarios utilizan frecuentemente la misma password y el mismo ID (correo electrónico) para diferentes servicios, el hacker, gracias a los “bot”, intentará un gran número de conexiones a los sitios. Cuando la autenticación tiene éxito, él puede ver las informaciones asociadas a los account.
La CNIL ha observado que los hackers han sido capaces de tomar nota de las siguientes informaciones: nombre, apellido, correo electrónico y fecha de nacimiento de los clientes, sino también el número y el saldo de sus tarjetas de fidelidad y las informaciones sobre sus órdenes.
Medidas de seguridad insuficientes.
La formación restringida – que es el órgano competente de la CNIL que pronuncia las sanciones – ha pensado que las dos sociedades no habían cumplido la obligación de preservar la seguridad de los datos personales de los clientes, previsto desde el artículo 32 del GDPR.
De hecho, las empresas han tardado en implementar medidas para luchar contra estos ataques. Decidieron centrar la estrategia de respuesta sobre el desarrollo de un instrumento para revelar y bloquear los ataques lanzados para los robots.
Todavía, el desarrollo de este instrumento ha sido solicitado un año después del primer ataque.
Todavía, en el mismo tiempo, se habían podido tomar en cuenta diferentes otras medidas que hubieran podido producir efectos más rápidos o mitigar las consecuencias negativas para las personas, como:
– limitar el número de solicitudes permitidas por dirección IP en el sitio web, lo que podría haber frenado la velocidad de los ataques;
– la aparición de un CAPTCHA desde el primer intento de autentificar a los usuarios en su cuenta, que es muy difícil de burlar para un robot.
Como consecuencia de esta falta de diligencia, los datos de aproximadamente 40.000 clientes de la web quedaron accesibles a terceros no autorizados entre marzo de 2018 y febrero de 2019.
Sanciones pronunciadas desde la formación restringida
Consecuentemente, la formación restringida ha emitido dos diferentes sanciones – 150.000 euros al responsable del tratamiento y 75.000 euros a los encargados del tratamiento – en relación a la respectiva responsabilidad. De hecho, ha subrayado que el responsable del tratamiento tiene que decidir implementar medidas y dejar instrucciones a los encargados del tratamiento. Pero los encargados tienen que buscar soluciones técnicas y organizativas lo más apropiadas para garantizar la seguridad de los datos personales y ofrecerlas al responsable del tratamiento.
La formación restringida no ha decidido rendir públicas estas deliberaciones. Pero, desea comunicar estas decisiones para alertar a los profesionales de la necesidad de reforzar sus controles sobre los ataques de relleno de credencias y desarrollar, junto a sus encargados del tratamiento, medidas suficientes para garantizar la protección de datos personales.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL