Stampa & Eventi

Il CNIL sanziona il responsabile del trattamento

L’Autorità Garante Francese per la protezione dei dati (CNIL) ha recentemente sanzionato per 150.000 € e 75.000 € un titolare del trattamento e il relativo responsabile per non aver adottato misure soddisfacenti a fronteggiare gli attacchi di credential stuffing sul sito web del titolare.

Il fatto: e-commerce e credential stuffing

Tra il 2018 e il 2020, l’Autorità Garante Francese per la privacy ha ricevuto diverse notifiche di violazione dei dati personali in relazione a un e-commerce da cui milioni di clienti effettuano regolarmente acquisti. Pertanto, sono scattati i controlli sul titolare del trattamento e sul soggetto terzo (responsabile del trattamento ex art. 28 del GDPR) cui aveva affidato la gestione del sito web.

Durante le sue indagini, il CNIL ha notato che il sito web in questione aveva subito numerose ondate di attacchi di credential stuffing. In questo tipo di attacco, un utente malintenzionato recupera elenchi di credenziali e password, generalmente a seguito di una violazione dei dati. Supponendo che gli utenti utilizzino spesso la stessa password e lo stesso identificatore (indirizzo di posta elettronica) per diversi servizi, l’aggressore tenterà, grazie ai “bot”, un gran numero di connessioni ai siti. Quando l’autenticazione riesce, ciò consente di raccogliere tutte le informazioni associate agli account in questione.

Gli aggressori sono stati così in grado di raccogliere i dati identificativi dei soggetti quali cognome, nome, indirizzo e-mail e data di nascita, ma anche numero e saldo della loro carta fedeltà e informazioni relative ai loro ordini.

 

Credential stuffing: bisogna difendersi con adeguate misure di sicurezza

Secondo quanto stabilito all’art. 32 del GDPR, il titolare del trattamento e il responsabile del trattamento devono obbligatoriamente mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio per i diritti e le libertà dei soggetti interessati

Alla luce di quanto emerso dall’indagine, il CNIL ha ritenuto che entrambi i soggetti (il titolare da una parte e il responsabile dall’altra) fossero venuti meno all’obbligo di preservare la sicurezza dei dati personali dei clienti del sito web, così come previsto dall’art. 32 del GDPR.

I due soggetti, infatti, avevano tardato nell’applicazione di idonee misure di sicurezza per combattere efficacemente i ripetuti attacchi. Nel caso in questione, la strategia di risposta si era basata unicamente sullo sviluppo – tardivo – di uno strumento per rilevare e bloccare gli attacchi da parte dei bot.

Nel frattempo, però, le parti avrebbero dovuto prendere in considerazione altre misure di sicurezza per produrre effetti più rapidi al fine di prevenire ulteriori attacchi o mitigare le loro conseguenze negative sui soggetti interessati, come, ad esempio:

  • Limitare il numero di richieste consentite per indirizzo IP sul sito web, al fine di rallentare la velocità con cui venivano effettuati gli attacchi;
  • Predisporre un CAPTCHA per autenticare gli utenti sul proprio account, per tentare di bloccare i bot dannosi.

A seguito di questa mancanza di diligenza, i dati di circa 40.000 clienti del sito web sono stati resi accessibili a terzi non autorizzati tra marzo 2018 e febbraio 2019.

 

Conclusioni

Ciò che emerge dalla vicenda sottolinea ancora di più come la normativa sulla protezione dei dati coinvolga l’intera filiera della gestione della privacy, a partire dal titolare fino al responsabile del trattamento, quando non rispettino gli obblighi che il GDPR pone a loro carico.

Lascia un commento