Греческая телеком-компания оштрафована на 9 млн евро

[душман]

Греческий регулятор по защите данных наложил штрафы в размере 5 850 000 евро на компанию COSMOTE и 3 250 000 евро на компанию OTE за утечку конфиденциальной информации о клиентах в результате кибератаки, сообщает BleepingComputer. Обе компании входят в OTE Group, ведущую телекоммуникационную компанию Греции, предоставляющую услуги фиксированной и мобильной телефонии и широкополосного доступа к интернету.

Как говорится в заявлении агентства, COSMOTE нарушила как минимум восемь статей GDPR, включая нарушение обязанности информировать пострадавших клиентов об истинных последствиях инцидента.

Внутреннее расследование, проведенное COSMOTE в 2020 году, показало, что хакер взломал одного из своих сотрудников через LinkedIn, а затем неоднократно использовал литовский IP-адрес для доступа к одному из серверов ОТЕ. Злоумышленник пять раз использовал учетные данные для кражи файлов базы данных. Размер украденных данных составил 48 ГБ.

COSMOTE хранит информацию о звонках на своих серверах в течение 90 дней для обеспечения качества обслуживания и поддерживает анонимную версию данных еще в течение 12 месяцев для статистического анализа, который помогает в целенаправленном улучшении обслуживания.

Как обнаружило расследование органа по защите данных, процесс анонимизации не был выполнен должным образом, а сроки хранения данных не соблюдались. Скомпрометированный сервер содержал конфиденциальные данные абонентов и информацию о звонках за период с 1 по 5 сентября 2020 года.

В частности, открытые детали включают приблизительные позиционные данные 4 792 869 уникальных подписчиков COSMOTE, их возраст и пол, а также ARPU 4 239 213 абонентов. Также злоумышленник узнал MSISDN/CLI 6 939 656 пользователей других поставщиков телекоммуникационных услуг, которые общались с клиентами COSMOTE и MSISDN, IMEI, IMSI и координаты вышек сотовой связи 281 403 пользователей, находившихся в роуминге. Подобные данные могут быть использованы для мошенничества, фишинга и даже шантажа, отмечается в заявлении антимонопольной службы Греции.