CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款

法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。

在2018年6月至2020年1月期間,CNIL收到數十份與網站相關的個人資料外洩通報,CNIL指出該網站遭受到無數次的憑證填充攻擊。

憑證填充攻擊,攻擊者通常使用因為資料洩漏而遭公布在網路上的帳號密碼,並藉由機器人以自動化方式嘗試登入網路服務。假設使用者經常在不同的網路服務中使用相同的帳號與密碼,則攻擊者使用憑證填充攻擊,嘗試與網路服務進行大量連接,身份驗證成功後,攻擊者將可以查看與帳戶相關的資訊。

CNIL表示,攻擊者因此取得該網站會員姓名、電子郵件地址、出生日期、會員卡的餘額以及與訂單相關的資訊。CNIL認為該兩間公司未能履行歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第32條規定的保護客戶個人資料安全義務。

儘管公司開發一種工具用偵測與組織來自機器人的攻擊,但是該工具的開發距離第一次攻擊長達1年的時間。CNIL認為,公司在防止攻擊與減輕衝擊部分,本來可以考慮採取其他更適當的措施,例如:(1)限制網站上每個IP地址允許的存取數量,可以有助於減緩攻擊發生的速度;(2)使用驗證使用者身份機制。 CNIL強調,資料控制者必須決定安全措施的實施,並向資料處理者說明,同時資料處理者也必須尋求最適切的解決方案,將其提供給資料控制者,以確保個人資料保護的落實。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則