CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL（Commission Nationale de l’Informatique et des Libertés, CNIL）於2021年1月27日分別對某資料控制者（Data Controller）及其資料處理者（Data Processor）2間公司分別處以150,000歐元與75,000歐元（共225,000歐元，約新臺幣756萬元）的罰款，理由是因為其未能採取充分的適當安全措施，導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊（credential stuffing attacks），以致於資料外洩。

在2018年6月至2020年1月期間，CNIL收到數十份與網站相關的個人資料外洩通報，CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊，攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼，並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼，則攻擊者使用憑證填充攻擊，嘗試與網路服務進行大量連接，身份驗證成功後，攻擊者將可以查看與帳戶相關的資訊。

CNIL表示，攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊，但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為，公司在防止攻擊與減輕衝擊部分，本來可以考慮採取其他更適當的措施，例如：(1)限制網站上每個IP地址允許的存取數量，可以有助於減緩攻擊發生的速度；(2)使用驗證使用者身份機制。 CNIL強調，資料控制者必須決定安全措施的實施，並向資料處理者說明，同時資料處理者也必須尋求最適切的解決方案，將其提供給資料控制者，以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆，持續接收科技法律的新知！

※你可能會對這些文章有興趣
1.揭開黑箱，說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵？英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩，該怎麼辦？
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則