Investigație finalizată la Altex România S.A.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a încheiat, în octombrie 2024, o investigație referitoare la Altex România S.A. și a identificat încălcări ale regulamentelor privind protecția datelor. Conform concluziilor, operatorul a fost sancționat cu o amendă de 99.516 lei, echivalentul a 20.000 de euro.
Motivul investigației
Investigația a fost inițiată după ce Altex România S.A. a notificat autoritatea despre două incidente de securitate a datelor. Primul incident a fost raportat printr-un email de la un terț, care informa că anumite conturi ale clienților au fost publicate pe o platformă, expunând datele personale ale unui număr semnificativ de persoane, inclusiv nume, prenume, adrese de email, parole și informații despre livrare.
Al doilea incident a implicat un atac informatic de tip „credential stuffing”, în care s-au efectuat încercări repetate de validare a parolelor pentru conturile clienților, având ca scop plasarea de comenzi de carduri cadou. Acest atac a afectat date de identificare precum nume, prenume, adrese de email, parole și informații financiare legate de cardurile bancare înregistrate.
Concluziile investigației
Analiza a relevat că Altex România S.A. nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel corespunzător de securitate, ceea ce a permis accesul neautorizat la datele personale ale clienților prin intermediul a două atacuri informatice distincte.
Măsuri corective impuse
În conformitate cu regulamentul european, au fost dispuse măsuri corective menite să reducă riscurile de încălcare a confidențialității datelor. Aceste măsuri includ implementarea unor soluții tehnice și procedurale pentru îmbunătățirea securității autentificării în conturile de client pe toate platformele de e-commerce gestionate. Aceste soluții vor include notificări pentru logările de pe dispozitive noi, afișarea dispozitivelor conectate la conturi și politici stricte privind complexitatea parolelor, inclusiv un interval de expirare prestabilit.
De asemenea, se va implementa un sistem de monitorizare a traficului de internet, atât pentru datele de intrare, cât și pentru cele de ieșire, pe toate platformele de autentificare gestionate.
