监管机构表示，之所以开出4.4亿元的巨额罚单，是综合考虑了两家公司的财务能力、对基础安全原则知识的匮乏、受影响人数规模、涉及数据的“高度”个人性质和少数金融信息的风险。

法国数据保护监管机构国家信息自由委员会（CNIL）日前发出罚单，由于两家法国电信公司发生数据泄露违反了GDPR规定，对其合计处以4200万欧元（约合人民币3.39亿元）的罚款。

Free和Free Mobile是伊利亚特集团（Iliad）旗下两家独立运营的公司，分别提供固网和移动通信服务。此次罚款源于2024年10月发生的一起数据泄露事件，该事件导致超过2400万人的数据外泄，其中包括国际银行账户号码（IBAN）等金融信息。

两家运营商泄露超2460份用户合同数据

CNIL在裁决中指出，攻击始于2024年9月28日，公司于10月21日通过实施攻击的攻击者发来的信息才得知系统已被入侵。Free在次日将攻击者从其系统中清除。

攻击者通过公司VPN进入Free的网络，随后连接至Free Mobile的用户管理工具MOBO。尽管当时攻击者仅获得对Free Mobile应用MOBO的访问权限，但该系统允许用户查询Free和Free Mobile双方的客户数据，只要其为服务订户，便可访问包括IBAN在内的信息。

对攻击事件的事后分析显示，攻击者自2024年10月6日起开始外传客户记录，涉及总计24633469份固网和移动合同数据，其中包括19460891个Free Mobile联系人和5172577个Free合同。

攻击发生时，Free Mobile约有1550万名用户，Free约有760万名用户。基于伊利亚特集团在2024年公布的100亿欧元营业额和3.67亿欧元利润，两家公司分别被处以2700万欧元和1500万欧元的罚款。

监管机构认定两家运营商

未实施多项基础安全措施

监管机构表示，这两家公司违反了GDPR的三方面要求，包括未能妥善保护个人数据、未能充分向受影响人员通报数据泄露事件、未能遵守数据留存相关法律要求。

在宣布罚款决定时，CNIL表示：“受限委员会认定，在数据泄露发生当天，这些公司尚未实施某些本可显著增加攻击难度的基本安全措施。

“特别是，其指出，用于连接Free Mobile和Free的VPN的身份验证流程稳健性不足。该流程主要用于公司员工的远程办公。”

“此外，Free Mobile和Free为检测其信息系统中异常行为而部署的措施效果不佳。”

在确定罚款金额时，被窃取数据的性质以及公司的数据留存政策也被纳入考量。

CNIL指出，Free和Free Mobile均缺乏对前订户数据进行分类处理的必要能力，无法仅保留会计用途所需的信息。

在攻击发生时，它们同样缺乏适当的数据删除机制。此外，在向用户通报此次攻击时，最初发送的电子邮件缺少关键信息，未能让用户全面理解该事件可能带来的后果。

参考资料：theregister.com

文章来源 ：安全内参