Francuski organ regulacyjny ds. ochrony danych osobowych (CNIL- Commission Nationale de l'Informatique et des Libertés), nałożył karę w wysokości 42 mln euro na operatorów telekomunikacyjnych z grupy Iliad za naruszenia RODO wynikające z wycieku danych z systemów operatorów. Dochodzenie CNIL wykazało, że obaj operatorzy – działający jako indywidualni administratorzy danych dla swoich abonentów – nie wdrożyły podstawowych środków bezpieczeństwa, które mogłyby utrudnić hakerom dostęp do danych.
Chodzi o Free i Free Mobile – dwie odrębne firmy, odpowiednio oferujące usługi stacjonarne i mobilne, należące do Iliad Group. Free Mobile została ukarana najwyższą grzywną i będzie musiała zapłacić ponad 27 mln euro za naruszenia RODO. Na Free nałożono karę w wysokości 15 mln euro.
Kary dotyczą naruszenia z października 2024 r., które doprowadziło do wycieku danych ponad 24 mln osób, w tym informacji finansowych, takich jak numery IBAN (International Bank Account Number).
CNIL zauważa, że atak rozpoczął się 28 września 2024 r., a firmy zostały poinformowane o włamaniu 21 października za pośrednictwem wiadomości od osoby odpowiedzialnej za atak.
Atakujący uzyskali dostęp do sieci Free za pośrednictwem firmowej sieci VPN, a następnie połączyli się z narzędziem do zarządzania abonentami Free Mobile, MOBO. Mimo że atakujący uzyskał dostęp jedynie do aplikacji Free Mobile, MOBO umożliwiło użytkownikom wyszukiwanie danych należących do klientów obu serwisów, łącznie z numerami IBAN, pod warunkiem że byli abonentami usług.
