BreachExchange mailing list archives
BOUYGUES TELECOM: financial penalty for breach of customer data security
From: Destry Winant <destry () riskbasedsecurity com>
Date: Fri, 28 Dec 2018 08:35:09 -0500
https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients English Translation: In March 2018, the CNIL received a report informing it of the existence of a security incident which led to making freely accessible the personal data of customers of the B & You brand, held by BOUYGUES TELECOM. In the following days, the latter notified the data breach to the CNIL. A check was made in the premises of the operator. This check confirmed the existence of a vulnerability allowing access to contracts and invoices of B & You customers by simply modifying a URL address on the BOUYGUES TELECOM website. This security flaw has impacted the data of more than two million B & You customers for more than two years. After being informed, the operator quickly corrected the vulnerability and the personal data of the customers were no longer freely accessible. The restricted training of the CNIL imposed a financial penalty of 250 000 euros, considering that the company had breached its obligation to ensure the security of the personal data of users of its site, in accordance with Article 34 of the the law Informatique et Libertés . Restricted training found that the security defect originated in the failure to reactivate on the site, after a test phase, the authentication function in the customer area which had been deactivated for the sole purpose of these tests . However, it considered that it was up to the company to be particularly vigilant as to the effectiveness of its authentication mechanism, given its choice not to put in place additional security measures. The restricted training took into account the high reactivity of the operator in the resolution of the security incident as well as the numerous measures put in place by the company to limit its consequences. The sanction imposed by the restricted training concerns facts that took place entirely before the entry into force of the European regulation on the protection of personal data. Original Text in French: BOUYGUES TELECOM : sanction pécuniaire pour manquement à la sécurité des données clients En mars 2018, la CNIL a reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You, détenues par la société BOUYGUES TELECOM. Dans les jours suivants, cette dernière a notifié la violation de données à la CNIL. Un contrôle a été réalisé dans les locaux de l’opérateur. Ce contrôle a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de BOUYGUES TELECOM. Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles. La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250 000 euros, considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés. La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire. La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences. La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles. _______________________________________________ BreachExchange mailing list sponsored by Risk Based Security BreachExchange () lists riskbasedsecurity com If you wish to Edit your membership or Unsubscribe you can do so at the following link: https://lists.riskbasedsecurity.com/listinfo/breachexchange
Current thread:
- BOUYGUES TELECOM: financial penalty for breach of customer data security Destry Winant (Dec 28)