הרגולטור הבריטי לשמירה על פרטיות קנס חברה בחצי מיליארד ליש"ט
הסיבה לקנס: "הסדר אבטחה לקוי ואי נקיטת צעדים נאותים להגנה על נתונים אישיים"
עמי רוחקס דומבה
| 16/01/2020
dixonscarphone.com
Dixons, חברה קמעונאית בריטית, מתמודדת עם קנס של 500,000 ליש"ט ממשרד נציבות המידע (ICO) הבריטי לאחר שהאקר התקין תוכנה זדונית שהדביקה אלפי נקודות מכירה ואספה 5.6 מיליון פרטי כרטיס תשלום. כך לפי פרסום של theregister. מנכ"ל החברה, אלכס בלדוק, אמר: "אנו מצטערים מאוד על אי הנוחות שהתקרית ההיסטורית הזו גרמה ללקוחותינו. כשמצאנו את הגישה הלא מורשית לנתונים, פתחנו מייד בחקירה, הוספנו אמצעי אבטחה נוספים והכלנו את האירוע."
בדיקה שנערכה על ידי גוף שמירת הפרטיות בבריטניה העריכה כי מערכת המחשבים המנהלת את הקופה נפגעה, והשפיעה על 5,390 מכונות בחנויות Curries PC World ו- Dixons Travel בין יולי 2017 לאפריל 2018, כאשר זו הבחינה בסופו של דבר בתקיפה. כתוצאה מכך, נחשפו 5,646,417 כרטיסים בסך הכל, כולל 5,529,349 כרטיסי שבב ו- PIN שהציגו את מספר החשבון העיקרי ותאריך התפוגה, ו- 52,788, כרטיסים שאינם מוגנים על ידי EMV. ככל הנראה מצד קונים מחוץ לבריטניה ואיחוד האירופי שחשפו את מספר הסכום העיקרי , תאריך תפוגה ושם בעל הכרטיס.
ה-ICO מצאה כי בנוסף לנתונים הכספיים האישיים שהוזכרו לעיל, Dixons גילתה כי הודלפו בערך 10 מיליון רשומות לא כספיות (שם, כתובת דואר, מספרי טלפון ניידים וביתיים, כתובת דוא"ל, תאריך לידה) מהשרתים הפנימיים. מאוחר יותר גילתה Dixons כי 2.9 מיליון רשומות נוספות הודלפו, יחד עם 73 אחוז ממסד הנתונים הכולל 4.7 מיליון רשומות. Dixons לא הצליחה לאשר בוודאות כמה לקוחות הושפעו אך העריכה כי מדובר בכ -14 מיליון.
כתוצאה מכך, Dixons הפרה את חוק הגנת המידע משנת 1998 בגלל "הסדר אבטחה לקוי ואי נקיטת צעדים נאותים להגנה על נתונים אישיים", כולל חוסר עדכוני תוכנה, היעדר חומת אש מקומית, חוסר הפרדה ברשת ובדיקת אבטחה שגרתית. הוסיפה ICO.
הסיבה לקנס: "הסדר אבטחה לקוי ואי נקיטת צעדים נאותים להגנה על נתונים אישיים"
dixonscarphone.com
Dixons, חברה קמעונאית בריטית, מתמודדת עם קנס של 500,000 ליש"ט ממשרד נציבות המידע (ICO) הבריטי לאחר שהאקר התקין תוכנה זדונית שהדביקה אלפי נקודות מכירה ואספה 5.6 מיליון פרטי כרטיס תשלום. כך לפי פרסום של theregister. מנכ"ל החברה, אלכס בלדוק, אמר: "אנו מצטערים מאוד על אי הנוחות שהתקרית ההיסטורית הזו גרמה ללקוחותינו. כשמצאנו את הגישה הלא מורשית לנתונים, פתחנו מייד בחקירה, הוספנו אמצעי אבטחה נוספים והכלנו את האירוע."
בדיקה שנערכה על ידי גוף שמירת הפרטיות בבריטניה העריכה כי מערכת המחשבים המנהלת את הקופה נפגעה, והשפיעה על 5,390 מכונות בחנויות Curries PC World ו- Dixons Travel בין יולי 2017 לאפריל 2018, כאשר זו הבחינה בסופו של דבר בתקיפה. כתוצאה מכך, נחשפו 5,646,417 כרטיסים בסך הכל, כולל 5,529,349 כרטיסי שבב ו- PIN שהציגו את מספר החשבון העיקרי ותאריך התפוגה, ו- 52,788, כרטיסים שאינם מוגנים על ידי EMV. ככל הנראה מצד קונים מחוץ לבריטניה ואיחוד האירופי שחשפו את מספר הסכום העיקרי , תאריך תפוגה ושם בעל הכרטיס.
ה-ICO מצאה כי בנוסף לנתונים הכספיים האישיים שהוזכרו לעיל, Dixons גילתה כי הודלפו בערך 10 מיליון רשומות לא כספיות (שם, כתובת דואר, מספרי טלפון ניידים וביתיים, כתובת דוא"ל, תאריך לידה) מהשרתים הפנימיים. מאוחר יותר גילתה Dixons כי 2.9 מיליון רשומות נוספות הודלפו, יחד עם 73 אחוז ממסד הנתונים הכולל 4.7 מיליון רשומות. Dixons לא הצליחה לאשר בוודאות כמה לקוחות הושפעו אך העריכה כי מדובר בכ -14 מיליון.
כתוצאה מכך, Dixons הפרה את חוק הגנת המידע משנת 1998 בגלל "הסדר אבטחה לקוי ואי נקיטת צעדים נאותים להגנה על נתונים אישיים", כולל חוסר עדכוני תוכנה, היעדר חומת אש מקומית, חוסר הפרדה ברשת ובדיקת אבטחה שגרתית. הוסיפה ICO.
