במסגרת כוח הסנקציה שלה,הנציבות הלאומית לטכנולוגיית מידע וחירויות (CNIL) הטילה זה עתה קנס של 400,000 יורו על אובר. אחרון בהמשךלגניבת מידע שהשפיעה על 1.4 מיליון משתמשים בצרפת. ואכן, בדצמבר 2017 חשף המשרד כי חשבונותיהם של57 מיליון לקוחותברחבי העולם נפרצו.
לאחר אחקירה אירופית בתיאום ה-G29(הערת העורך: הישות המאגדת את המקבילות של ה-CNIL באירופה), הגיעה הוועדה למסקנה שזאתניתן היה למנוע פגם, אם אובר הייתה מיישמתכמה אמצעי בטיחות בסיסיים
. לכן היא שומרתהפרה של חובת אבטחת המידע האישי שלה
.
תמונה CNIL
חקירות העלו כי ההאקרים הצליחוגישה לאישורי לקוחות, מאוחסן בטקסט רגיל על הפלטפורמהGithub, על מנת להשתמש בהם עבורלהורידנתונים משרת. האירועים לכאורה התרחשולפני כניסת ה-GDPR לתוקף, הסנקציות החדשות אינן חלות. למעשה, הקנס כרגע עבור סוג זה של מעשה יכול כעת להגיעעד 4% מהמחזור העולמי.
ההכשרה המצומצמת של ה-CNIL העריכה כי מתקפה זו לא הייתה יכולה להצליח אילו הופעלו אמצעי אבטחה בסיסיים מסוימים. במיוחד היא הדגישה כי:
• החברה הייתה צריכה לתכנן שמהנדסים שלה יתחברו לפלטפורמת הפיתוח השיתופית "Github" באמצעות אמצעי אימות חזק (לדוגמה, שם משתמש וסיסמה ואז קוד סודי שנשלח לטלפון);
• זה לא היה צריך להיות מאוחסן בטקסט רגיל בתוך קוד המקור של מזהי הפלטפורמה "Github" המאפשרים גישה לשרת;
• עבור גישה לשרתי "Amazon Web Services S3" המכילים נתוני משתמש, היה עליו ליישם מערכת סינון כתובות IP.
מָקוֹר
