De Spaanse telecomoperator Telefonica heeft wegens ernstige schendingen van de AVG een boete gekregen van 1,3 miljoen Euro. Een van de hoogste boetes die jaar in de EU en ook nog eens voor extreem domme fouten.
Van een medewerker werden de username en wachtnaam ontfutseld. Met die gegevens is vervolgens gewoon toegang gekregen tot het systeem. Telefonica had namelijk nergens MFA aanstaan.
1 miljoen persoonsgegevens
In het boetebesluit van de toezichthouder staan 9 en 16 september als aanvalsdatum, 23 september werd ontdekt dat er data was ontvreemd en op 20 september (eerder dus) werd het lek gedicht. Die laatste datum is het moment dat het gekloonde account van de medewerker werd dichtgezet. Drie dagen later bleek dat van meer dan 1 miljoen klanten persoonsgegevens waren ingezien, gekopieerd en dus gelekt.
Het snel handelen en rapporteren door Telefonica is een typisch geval van mosterd na de maaltijd. Dat blijkt uit het 128 pagina’s tellende boetebesluit (PDF). De telco wordt daarin flink de oren gewassen. Er zijn twee ernstige misstanden geconstateerd en die hebben geleid tot de hoge boete.
MFA
De eerste misstand was dat Telefonica geen enkele beveilingsmaatregel had getroffen. Lees het ontbreken van MFA zorgde ervoor dat artikel 32 van de AVG werd overtreden. Dat laatste is het artikel dat gaat over de “passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen”.
Het is bizar dat een beursgenoteerd bedrijf dat met talloze audits te maken heeft vier jaar lang heeft kunnen verhullen dat toegang tot de backend totaal onvoldoende was beschermd.
Misschien is dat wel het meest verbijsterende aan deze case. Niet de hoogte boete voor Telefonica of de omvang van het lek, maar wel dat een bedrijf van die omvang en in een sector die met zoveel regels te maken heeft de basis van veiligheid niet op orde heeft zonder dat het opviel.