O Garante para a Proteção de Dados Pessoais da Itália aplicou uma multa de € 900 mil à Postel S.p.A. por falhas de segurança que resultaram em um vazamento de dados após ataque cibernético, além de determinar medidas corretivas para evitar novos incidentes. O ataque, ocorrido em agosto de 2023, foi reivindicado pelo grupo de ransomware Medusa e levou à exposição e publicação de informações de aproximadamente 25.000 pessoas, incluindo dados de funcionários, candidatos e parceiros comerciais.

A investigação revelou que a Postel não havia implementado correções de segurança críticas para vulnerabilidades conhecidas em seus servidores Microsoft Exchange, que poderiam ter evitado a invasão. As vulnerabilidades, identificadas como CVE-2022-41040 e CVE-2022-41082, permitiam a escalada de privilégios (o que permitiu a criação de uma conta de administrador no sistema) e execução de código remoto (o que permitiu o acesso aos dados pessoais).

O Garante destacou que a empresa deveria ter atualizado os sistemas conforme as recomendações da Microsoft e do órgão de segurança cibernética italiano, emitidas em 2022, quase um ano antes do ataque. Embora a Postel tenha declarado que utilizava medidas de segurança adequadas, o órgão italiano constatou falhas significativas, como a ausência de uma testes de invasão regulares de sistemas e a dependência de soluções temporárias para mitigação de riscos.

Além da multa, o Garante ordenou à Postel que adote novas práticas para reforçar a segurança dos dados, incluindo um plano formal de gestão de vulnerabilidades, auditorias regulares dos sistemas e respostas mais rápidas em caso de ameaças. A empresa deve também comunicar ao Garante, em até 120 dias, as ações tomadas para cumprir as exigências.

O Garante considerou a violação grave, considerando a extensão dos dados expostos e o impacto potencial sobre os direitos dos envolvidos, como risco de fraude e danos reputacionais. A decisão também prevê a publicação do processo no site do órgão regulador, como forma de promover a transparência e de advertir outras empresas sobre a importância da segurança da informação.

Com informações Garante per la protezione dei dati personali

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

31 de Outubro, 2024

Garante italiano multa empresa por falhas de segurança e exige melhorias na proteção de dados

Quer ficar por dentro das ultimas notícias na área?

Posts recentes