ホーム インターネット 安全 Telefónica に対するハッキングにより、最大 140 万人のユーザーの WiFi キーを抽出することに成功しました。 AEPDは彼に130万ユーロの罰金を科した

Telefónica に対するハッキングにより、最大 140 万人のユーザーの WiFi キーを抽出することに成功しました。 AEPDは彼に130万ユーロの罰金を科した

スペインデータ保護庁(AEPD)はテレフォニカに対し130万ユーロの罰金を課した。その理由は、2022 年 9 月に同社のシステムでセキュリティ侵害が発生したためであり、運営者によれば、攻撃者は機密の個人情報を取得しなかったが、MAC や WiFi ネットワークの名前などの機器の技術データを取得したとのことです。とパスワード。

そのときの推奨事項は、ネットワーク名とパスワードを変更することでした。この脆弱性をリモートから悪用することはできませんでしたが、攻撃者が私たちの家に近づいた場合、ルーター上のデータと家の住所を結び付ける情報を持っていれば、簡単にネットワークを制御することができます。

これらすべての理由から、AEPD は個人データの処理に過失があり、そのセキュリティが正しく保証されていなかったと考えています。このため、最初の罰金は 80 万ユーロです。第二に、サイバー攻撃のリスクを最小限に抑えるための技術的および組織的対策が欠如しているため、データ保護によりさらに 50 万ユーロが課せられます。

140万人以上が影響を受ける

テフ

決議案では、AEPD がギャップの範囲を詳しく説明しています。この侵害によってデータが影響を受けた個人の数は 140 万人以上に達し、固定数の合計は 160 万人強に達します。本文によると、次の理由から、WiFi キーがクライアントのネットワークへのアクセスに使用された可能性は非常に低いか、ありそうもありません。

侵入者がルーター設置住所の通信可能範囲内に物理的に存在するには、第三者が Wifi キーに対応する住所 (Telefonica システムから抽出されていないデータ) を持っている必要があります。

これに関してテレフォニカは本文全体を通じて、攻撃で抽出された情報は「機密データではなく、また制御の喪失が利害関係者に重大な結果を暗示する可能性のあるデータでもない」と何度も主張している。

この攻撃は 9 月 16 日に始まりましたが、休暇中の従業員のプロフィールに対して発生したため、軽減するまでに 4 日かかりました。同氏が帰国するまで、彼らは大量の情報要求(1日あたり400万件)が正当なものでないかどうかを確認しなかった。また、次のような協議がリトアニアから行われたことも判明しました。

「攻撃元の IP アドレスは ***IP.1、発信国はリトアニア、インターネット サービス プロバイダーは UAB Cherry Server でした。具体的には、当該 IP から ***APP に対してクエリが行われました。」 .1とデータの取得」

したがって、AEPD は、テレフォニカが RGPD の積極的責任とリスクアプローチの原則、および国内データ保護規制を遵守していないと説明しています。彼らはまた、テレフォニカが保有するデータ量を確保するために必要な保護措置を講じていなかったため、過失があったとも考えています。 1 つ目に関して、決議では Telefonica が同意しないと述べられています。

「テレフォニカはまた、この事件の影響を受けたデータのカテゴリーは、RGPD第9条に含まれる機密データのカテゴリーには入らず、また、制御の喪失が利害関係者に重大な結果をもたらす可能性のあるデータのカテゴリーにも当てはまらないと指摘している」

Telefonica の広報担当者は HOW2.WORK に対し、この事業者が罰金について国家裁判所に控訴し、その控訴の処理が認められたことを認めた。

経由 | エルディアリオ.es

スペインデータ保護庁(AEPD)はテレフォニカに対し130万ユーロの罰金を課した。その理由は、2022 年 9 月に同社のシステムでセキュリティ侵害が発生したためであり、運営者によれば、攻撃者は機密の個人情報を取得しなかったが、MAC や WiFi ネットワークの名前などの機器の技術データを取得したとのことです。とパスワード。

そのときの推奨事項は、ネットワーク名とパスワードを変更することでした。この脆弱性をリモートから悪用することはできませんでしたが、攻撃者が私たちの家に近づいた場合、ルーター上のデータと家の住所を結び付ける情報を持っていれば、簡単にネットワークを制御することができます。

これらすべての理由から、AEPD は個人データの処理に過失があり、そのセキュリティが正しく保証されていなかったと考えています。このため、最初の罰金は 80 万ユーロです。第二に、サイバー攻撃のリスクを最小限に抑えるための技術的および組織的対策が欠如しているため、データ保護によりさらに 50 万ユーロが課せられます。

140万人以上が影響を受ける

テフ

決議案では、AEPD がギャップの範囲を詳しく説明しています。この侵害によってデータが影響を受けた個人の数は 140 万人以上に達し、固定数の合計は 160 万人強に達します。本文によると、次の理由から、WiFi キーがクライアントのネットワークへのアクセスに使用された可能性は非常に低いか、ありそうもありません。

侵入者がルーター設置住所の通信可能範囲内に物理的に存在するには、第三者が Wifi キーに対応する住所 (Telefonica システムから抽出されていないデータ) を持っている必要があります。

これに関してテレフォニカは本文全体を通じて、攻撃で抽出された情報は「機密データではなく、また制御の喪失が利害関係者に重大な結果を暗示する可能性のあるデータでもない」と何度も主張している。

この攻撃は 9 月 16 日に始まりましたが、休暇中の従業員のプロフィールに対して発生したため、軽減するまでに 4 日かかりました。同氏が帰国するまで、彼らは大量の情報要求(1日あたり400万件)が正当なものでないかどうかを確認しなかった。また、次のような協議がリトアニアから行われたことも判明しました。

「攻撃元の IP アドレスは ***IP.1、発信国はリトアニア、インターネット サービス プロバイダーは UAB Cherry Server でした。具体的には、当該 IP から ***APP に対してクエリが行われました。」 .1とデータの取得」

したがって、AEPD は、テレフォニカが RGPD の積極的責任とリスクアプローチの原則、および国内データ保護規制を遵守していないと説明しています。彼らはまた、テレフォニカが保有するデータ量を確保するために必要な保護措置を講じていなかったため、過失があったとも考えています。 1 つ目に関して、決議では Telefonica が同意しないと述べられています。

「テレフォニカはまた、この事件の影響を受けたデータのカテゴリーは、RGPD第9条に含まれる機密データのカテゴリーには入らず、また、制御の喪失が利害関係者に重大な結果をもたらす可能性のあるデータのカテゴリーにも当てはまらないと指摘している」

Telefonica の広報担当者は HOW2.WORK に対し、この事業者が罰金について国家裁判所に控訴し、その控訴の処理が認められたことを認めた。

経由 | エルディアリオ.es

最新記事一覧