Altex primește o amendă GDPR după atacuri informatice: Informațiile personale ale clienților au fost expuse online

Compania Altex România a fost sancționată cu 20.000 de euro, ca urmare a publicării informațiilor personale ale unui număr considerabil de clienți pe internet, în urma a două atacuri cibernetice diferite, conform unui anunț al Autorității pentru protecția datelor personale, transmis luni. Investigația a relevat că Altex nu a adoptat măsuri tehnice adecvate pentru a proteja datele personale ale clienților.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în octombrie 2024, o investigare a operatiunilor Altex România S.A., descoperind încălcări ale articolelor 32 alin. (1) lit. b) și 32 alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

În acest context, operatorul a fost sancționat cu o amendă contravențională de 99.516 lei, echivalentul a 20.000 euro.

Informațiile personale ale clienților Altex publicate online

Investigația a fost inițiată în urma notificărilor primite din partea Altex România S.A. privind încălcarea securității datelor cu caracter personal, astfel:

• a) Altex a fost alertat prin email de un terț cu privire la publicarea unor conturi de clienți pe o platformă online, expunând date personale ale unui număr mare de persoane, inclusiv nume, prenume, email, parola contului Altex, informații din contul de client, cum ar fi adresa de livrare, număr de telefon, istoricul comenzilor și detalii legate de cardurile de plată online;
• b) Compania a descoperit că a fost victima unui atac cibernetic de tip „credential stuffing”, constând în încercări repetate de validare a parolelor la conturile clienților pentru efectuarea de comenzi de carduri cadou. Au fost afectate datele personale ale unui număr semnificativ de persoane, inclusiv datele necesare autentificării în contul clientului, cum ar fi nume, prenume, adresă email, parola de acces și informațiile financiare ale cardurilor bancare stocate pe platformă.

Investigația a evidențiat că Altex România S.A. nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel corespunzător de securitate conform riscurilor asociate cu prelucrarea datelor.

Acest lucru a permis accesul neautorizat la datele personale ale unui număr foarte mare de clienți, prin intermediul a două atacuri informatice distincte care au implicat preluarea controlului asupra conturilor.

În conformitate cu art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, au fost impuse următoarele măsuri corective:

• Implementarea tehnică și procedurală a unor măsuri de reducere a riscurilor de încălcare a confidențialității datelor personale, inclusiv: notificarea logării de pe dispozitive noi, vizualizarea dispozitivelor conectate la cont, stabilirea unei politici de complexitate și expirare a parolelor pentru toate conturile de client;
• Implementarea unui sistem de monitorizare a traficului de internet de intrare și de ieșire (inbound/outbound) pentru platformele de autentificare ale conturilor clienților de pe toate site-urile/aplicațiile e-commerce gestionate.