Altex România fost amendată cu 20.000 EUR, în baza GDPR, de Autoritatea românească de protecție a datelor personale, după ce a fost victima unor atacuri informatice ce au dus la publicare datelor unor clienți pe o platformă online.
Investigația a fost finalizată în luna octombrie 2024 și a fost demarată după ce firma Altex România SA a transmis Autorității naționale de supraveghere a prelucrării datelor cu caracter personal (ANSPDCP) două notificări cu privire la încălcarea securității datelor personale.
Astfel, firma:
- a) a fost informată prin email de către un terț cu privire la faptul că unele conturi ale clienților săi au fost publicate pe o platformă, fiind afectate date cu caracter personal ale unui număr de foarte mare de persoane vizate, respectiv: nume, prenume, email, parola cont altex.ro, informații disponibile în contul de client, precum adresă de livrare, număr de telefon, istoric comenzi, date referitoare la cardurile cu care se efectuează plata online, comunicări în relația cu operatorul;
- b) a constatat că a fost victima unui atac informatic de tip „credential stuffing”, prin încercări repetate de validare a parolelor asupra unor conturi ale clienților pentru plasarea de comenzi de carduri cadou; s-a precizat că au fost afectate, pentru un număr de aproximativ semnificativ de persoane vizate, următoarele date cu caracter personal: datele de identificare pentru logare în cont client: nume, prenume, adresa email, parola acces cont client, date financiare referitoare la carduri bancare înregistrate în aplicație/site.
Astfel, firma a fost sancționată cu amendă în valoare totală de 99.516 lei, echivalentul a 20.000 EUR.
Potrivit ANSPDCP, firma nu ar fi implementat măsurile tehnice necesare pentru asigurarea „unui nivel de securitate corespunzător riscului prezentat de prelucrare”, pentru a preveni accesarea în mod ilegal a conturilor clienților săi.
„Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de foarte mare de clienți ai operatorului prin intermediul a două atacuri informatice distincte ce presupun preluarea controlului asupra unor conturi”, arată Autoritatea românească de protecție a datelor personale.
Astfel, pe lângă amenda primită, firma mai trebuie să implementeze măsuri de diminuare a riscului încălcării confidențialității datelor cu caracter personal prin atac informatic asupra platformelor de autentificare în conturile de client de pe toate site-urile/aplicațiile de e-commerce gestionate: notificare logare dispozitiv nou, afișarea dispozitivelor logate în cont, politică de complexitate și istoric a parolelor asupra tuturor conturilor de client cu un interval de expirare a acesteia prestabilit.
Totodată, trebuie să implenteze un sistem de monitorizare al traficului de internet de intrare și de ieșire (inbound/outbound) executat asupra platformelor de autentificare în conturile de client de pe toate site-urile/aplicațiile de e-commerce gestionate.
Sancțiunile pot fi contestate în instanțele de judecată.