Gửi bình luận
ĐNO - Cơ quan quản lý bảo vệ dữ liệu Pháp (CNIL) vừa phạt tổng cộng 42 triệu euro đối với hai công ty viễn thông của nước này vì vi phạm GDPR (Quy định chung về bảo vệ dữ liệu) của Liên minh châu Âu (EU), góp phần gây ra vụ vi phạm dữ liệu quy mô lớn.
Hai công ty bị phạt gồm Free SAS, nhà cung cấp dịch vụ viễn thông hàng đầu và Free Mobile, nhà điều hành mạng di động tại Pháp. Tuy nhiên, cả hai cùng thuộc sở hữu của Tập đoàn Iliad. Các khoản phạt liên quan đến vụ rò rỉ dữ liệu cá nhân bắt đầu hồi tháng 10/2024, dẫn đến thông tin của 25 triệu thuê bao bị xâm phạm, bao gồm tài khoản ngân hàng quốc tế.
Theo The Register, CNIL lưu ý cuộc tấn công đánh cắp dữ liệu xảy ra sau khi cả hai công ty trên đều nhận được thông báo về vụ tấn công từ tin tặc vào những ngày trước đó.
Những kẻ tấn công truy cập vào mạng của Free SAS thông qua mạng ảo riêng của công ty trước khi kết nối với công cụ quản lý thuê bao của Free Mobile là MOBO.
Phân tích sau vụ tấn công cho thấy, kẻ tấn công mạng bắt đầu đánh cắp hồ sơ khách hàng vào ngày 6/10/2024, bao gồm hồ sơ liên quan đến tổng cộng khoảng 25 hợp đồng thuê bao cố định và di động. Trong đó, có hơn 19 triệu của Free Mobile và khoảng 5 triệu của Free SAS.
CNIL tuyên bố phạt Free Mobile với 27 triệu euro và Free SAS 15 triệu euro, dựa trên doanh thu 10 tỷ euro và lợi nhuận 367 triệu euro của Tập đoàn Iliad trong năm 2024, vì vi phạm GDPR theo ba cách: không bảo mật dữ liệu cá nhân đúng cách, không thông báo đầy đủ về vi phạm cho những người bị ảnh hưởng và không tuân thủ luật lưu giữ dữ liệu.
CNIL cho biết: “Hội đồng chuyên gia kết luận rằng, vào ngày xảy ra vụ vi phạm dữ liệu, các công ty đã không thực hiện một số biện pháp bảo mật cơ bản có thể khiến cuộc tấn công khó thực hiện hơn”.
Không riêng tại Pháp, đến nay, nhiều quốc gia trên thế giới phạt số tiền lớn đối với các công ty liên quan đến vi phạm về lỗ hổng an ninh mạng, dẫn đến rò rỉ thông tin của khách hàng quy mô lớn.
Ví như, tháng 8 năm ngoái, Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc (PIPC) tuyên bố phạt công ty viễn thông lớn nhất nước này là SK Telecom với 134,8 tỷ won (96,9 triệu USD) do rò rỉ dữ liệu cá nhân của 23,2 triệu thuê bao LTE và 5G. Đây là mức phạt cao nhất PIPC từng áp dụng khi đó.
Trước đó, năm 2024, trong thông báo ngày 27/9, Ủy ban Bảo vệ dữ liệu Ireland (DPC) công bố mức phạt 102 triệu USD đối với Meta, công ty mẹ của Facebook, do vi phạm quyền riêng tư. Reuters thông tin, DPC lập luận Meta không thực hiện các biện pháp bảo mật phù hợp để bảo vệ mật khẩu của người dùng, đồng thời chậm trễ trong việc thông báo cho DPC về sự cố rò rỉ dữ liệu...