A Autoridade de Proteção de Dados da Itália (DPA) multou a empresa Innova Camara, operadora de dados, em €25,000 por não excluir uma cópia de segurança contendo dados pessoais de mais de 22.000 usuários após uma atualização do sistema e por usar criptografia fraca para proteger as senhas dos usuários.

A Câmara de Comércio de Roma (controladora) notificou a DPA sobre um ataque cibernético que resultou na manipulação do banco de dados de usuários da aplicação (por meio de um ataque de SQL Injection). O ataque teve como objetivo carregar arquivos maliciosos que permitiam acesso remoto ao sistema. O ataque permitiu o acesso ao banco de dados da aplicação, com a subsequente manipulação das contas aplicativas para carregar no sistema de arquivos arquivos maliciosos para acesso remoto ao sistema (backdoor)", declarando ter tomado conhecimento da violação de dados pessoais através da "publicação de um tweet que mencionava a Câmara de Comércio de Roma por uma conta associada ao Anonymous, que denunciava um ataque ao site institucional da Entidade. O tweet e uma postagem no blog do Anonymous faziam referência a uma notícia falsa publicada pelos próprios hackers.

Subsequentemente, a Innova Camara foi informada sobre um link para um arquivo CSV de onde era possível baixar uma lista de 22.300 usuários. Os dados pessoais incluíam nomes, sobrenomes, códigos fiscais, endereços de e-mail, números de telefone e dados de acesso e identificação.

A investigação da DPA revelou várias vulnerabilidades nas medidas de segurança do operador. Primeiramente, os dados pessoais não estavam no site institucional, mas em um banco de dados de uma cópia de segurança criada durante uma atualização do sistema. A cópia não foi excluída após o período necessário para verificar o funcionamento do sistema. O controlador reconheceu que essa cópia deveria ter sido deletada anteriormente, mas devido à emergência de saúde na época, todas as prioridades foram reprogramadas para atender aos usuários.

Além disso, as senhas dos usuários do sistema invadido estavam protegidas pelo algoritmo MD5, que é criptograficamente fraco. A DPA destacou que vulnerabilidades sérias no algoritmo MD5 são conhecidas há anos, permitindo rastrear as senhas geradas por ele.

A DPA concluiu que o operador violou os princípios de limitação de armazenamento e de integridade e confidencialidade, bem como as obrigações de segurança previstas nos Artigos 5(1)(e), 5(1)(f) e 32 do GDPR. Por essas violações, a Innova Camara foi multada em €25,000.

Com informações GDPRHub e Garante per la Protezione dei Dati Personali

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

4 de Junho, 2024

Proteção de dados: Multa por não excluir backup e por uso de criptografia fraca

Quer ficar por dentro das ultimas notícias na área?

Posts recentes