法国数据保护监管机构——国家信息自由委员会(CNIL)日前公布了两项处罚决定,对电信运营商Free和Free Mobile合计处以4200万欧元(约合人民币3.39亿元)的巨额罚款。这笔罚单的起因是2024年发生的一起大规模数据泄露事件,超过2400万用户的敏感信息被攻击者窃取。
Free和Free Mobile是伊利亚特集团(Iliad)旗下两家独立运营的公司,分别提供固网和移动通信服务。CNIL表示,开出如此高额的罚单,是综合考虑了涉案公司的财务能力、对基础安全原则的认知匮乏、受影响用户的庞大规模,以及被泄露数据所具有的“高度”个人属性和其中包含的少数金融信息所带来的风险。
两家运营商泄露超2460万份用户合同数据
根据CNIL的调查,这起网络攻击始于2024年9月28日。令人惊讶的是,公司直到10月21日才通过攻击者主动发来的信息得知系统已被入侵,并于次日将攻击者从其系统中清除。
攻击者通过公司VPN进入Free的内部网络,随后连接至Free Mobile的用户管理工具MOBO。虽然攻击者当时只获得了对Free Mobile应用MOBO的访问权限,但该系统设计上允许查询Free和Free Mobile双方的客户数据。这意味着,只要是服务订户,攻击者便能访问到包括国际银行账户号码(IBAN)在内的敏感信息。
事后分析显示,攻击者自2024年10月6日起便开始外泄客户记录。总计有24,633,469份固网和移动合同数据被窃,其中包括19,460,891个Free Mobile联系人和5,172,577个Free合同。
在事件发生时,Free Mobile拥有约1550万名用户,Free则拥有约760万名用户。基于伊利亚特集团2024年公布的100亿欧元营业额和3.67亿欧元利润,CNIL最终裁定Free Mobile被罚2700万欧元,Free被罚1500万欧元。
监管机构认定两家运营商未实施多项基础安全措施
监管机构指出,这两家公司违反了欧盟《通用数据保护条例》(GDPR)的多个方面,主要包括:未能妥善保护个人数据、未能充分向受影响人员通报数据泄露事件,以及未能遵守数据留存的相关法律要求。
CNIL在裁决中明确指出:“在数据泄露发生当天,这些公司尚未实施某些本可显著增加攻击难度的基本安全措施。尤其在当今复杂的网络环境下,忽视基础防护是导致事件发生的重要原因。”
具体的安全缺失体现在以下几点:
- VPN身份验证流程薄弱:用于员工远程办公、连接Free Mobile和Free内部网络的VPN,其身份验证流程的稳健性不足,被攻击者轻易突破。
- 异常行为检测措施失效:公司为检测信息系统异常行为而部署的监控措施效果不佳,未能及时发现持续近一个月的非法访问和数据外传。
- 数据分类与留存政策不合规:Free和Free Mobile均缺乏对前订户数据进行分类处理的能力,无法做到仅保留会计等合法用途所必需的信息。在攻击发生时,它们同样缺乏适当的数据删除机制。
- 事件通报不充分:在事后向用户通报此次攻击时,最初发送的电子邮件缺少关键信息,未能让用户全面理解该事件可能带来的隐私与财产安全后果。
这起事件再次为所有处理用户数据的企业敲响了警钟,尤其是在通信服务这类关键基础设施领域,基础安全措施的落实绝非小事。它不仅关乎企业合规,更直接关系到千万用户的信任与权益。
此次处罚彰显了欧盟监管机构在执行GDPR、捍卫公民数据权利方面的强硬态度。对于企业而言,投资于扎实的网络安全防护体系、建立完善的数据生命周期管理流程,已从“可选项”变为生存与发展的“必选项”。想了解更多关于数据保护、合规与安全技术的深度讨论,欢迎到云栈社区与广大开发者一同交流。
参考资料:theregister.com | 
发表于 11 小时前
|
查看: 0|
回复: 0
