За утечку данных абонентов французский оператор связи был оштрафован властями на 42 млн евро

Власти Франции применили жёсткие финансовые меры к своему телекоммуникационному сектору после инцидента, связанного с компрометацией клиентской информации. Компания Free Mobile вместе с материнской структурой Free получила совокупное взыскание на сумму 42 млн евро. Причиной стало нарушение требований по защите сведений абонентов от киберугроз в период до инцидента 2024 года.

Решение вынесло французское управление по защите персональных данных CNIL. В материалах регулятора говорится, что оператор, занимающий вторую позицию на рынке интернет-доступа во Франции, допустил системные просчёты в работе с персональными данными.

Осенью 2024 года компания столкнулась с утечкой, в результате которой посторонние лица получили доступ к информации почти 23 млн клиентов мобильной и фиксированной связи.

Следствие установило, что злоумышленники проникли в корпоративный инструмент управления инфраструктурой. После этого конфиденциальные массивы оказались в распоряжении третьих лиц и были выставлены на продажу на специализированной площадке.

Предложение разместил пользователь с никнеймом «drussellx». В публикации утверждалось, что затронутыми оказались 19,2 млн клиентов, а платёжные реквизиты IBAN присутствовали примерно у 25 процентов абонентов из этого массива.

По итогам разбирательства CNIL пришло к выводу, что действия компании до инцидента не соответствовали требованиям европейского регулирования. Регулятор зафиксировал, что после утечки Free пересмотрела подходы к кибербезопасности, но выявленные ранее упущения уже привели к нарушению норм GDPR.

Французское ведомство сообщило, что проверка началась после получения значительного массива обращений. На момент подготовки решения число жалоб превысило 2500. В ходе анализа было установлено, что Free Mobile и Free, выступающие операторами персональных данных своих абонентов, допустили несоблюдение обязательств, предусмотренных Общим регламентом по защите данных.

В документах CNIL перечислены выявленные нарушения. Они оформлены следующим образом:
Несоблюдение требований по обеспечению безопасности данных по статье 32 GDPR. Компании использовали недостаточные меры защиты, среди которых слабая аутентификация VPN для удалённого доступа сотрудников и отсутствие эффективных механизмов выявления аномальной активности, что создало условия для атаки.

Ненадлежащее информирование пострадавших лиц по статье 34 GDPR. Пользователи получили уведомления, но письма не содержали развёрнутых разъяснений о последствиях утечки и не давали ясного понимания действий для снижения рисков. Чрезмерное хранение персональных данных по статье 5, пункту 1, подпункту e GDPR. Free Mobile сохраняла сведения о миллионах бывших абонентов дольше оправданных сроков, не проводила своевременную сортировку и удаление информации, выходя за рамки задач бухгалтерского учёта.

По итогам решения регулятор обязал обе компании завершить внедрение обновлённых мер кибербезопасности в течение 3 месяцев. Для Free Mobile установлен отдельный срок. В течение 6 месяцев оператор должен закончить сортировку и удаление избыточных данных клиентов.