Spaanse telecomproviders krijgen hoge GDPR-boetes wegens sim-swapping
De Spaanse privacytoezichthouder AEPD heeft meerdere telecomproviders wegens sim-swapping hoge GDPR-boetes opgelegd. In het geval van Vodafone gaat het om een bedrag van bijna vier miljoen euro. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten.
Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.
Klanten van Vodafone España, Telefónica Móviles España, Orange España Virtual, Xfera Moviles en Orange Espagne klaagden dat ze na sim-swapping bij de telecomproviders slachtoffer van fraude waren geworden. De Spaanse privacytoezichthouder startte een onderzoek en concludeerde dat alle vijf de providers artikel 5.1.f van de GDPR hadden overgetreden. Daarin staat dat bij de verwerking van persoonsgegevens passende technische of organisatorische maatregelen moeten worden getroffen om voor een passende beveiliging te zorgen, en dat gegevens onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
In het geval van Vodafone España stelde de AEPD dat de beveiligingsmaatregelen van de provider te kort schoten, aangezien iedereen die over basale persoonlijke informatie van een klant beschikte het beveiligingsbeleid kon omzeilen en de sim-swap laten uitvoeren. Daarmee was de provider ook in overtreding van artikel 5.2 van de GDPR, zo concludeerde de Spaanse privacytoezichthouder.
Vodafone stelde dat de incidenten het gevolg waren van menselijke fouten, maar de AEPD reageerde daarop dat bij het bepalen van beveiligingsmaatregelen rekening met menselijke fouten moet worden gehouden. De toezichthouder merkt op dat een groot aantal menselijke fouten een gebrek aan de nodige zorgvuldigheid is, een gebrek aan adequate beveiligingsmaatregelen en minachting voor verantwoordingsgerelateerde verplichtingen.
Voor de overtredingen kreeg Vodafone een boete van meer dan 3,9 miljoen euro opgelegd. Telefonica moet 900.000 euro betalen. De boete voor Orange bedraagt 700.000 euro. Xfera (200.000 euro) en Orange España Virtual (70.000 euro) komen met lagere boetes weg.
Sinds wanneer is ca 3,5 miljoen euro (3,9 miljoen dollar) bijna 4 miljoen euro?
Maar goed, in het bronbestand staat 3.940.000 euros, dus de dollar valuta hierboven klopt niet.
On topic: Goed dat ze flinke boetes opleggen. Dat is de enige manier om de providers te dwingen dit veilig te gaan doen. Dus niet meer telefonisch laten goedkeuren door een medewerker die er ook geen kijk op heeft, maar een gedegen controle uitvoeren, die dan maar een paar dagen moet duren.
Enfin, desalniettemin goed om de boel aan te pakken. Kijkend naar de boete-bereidheid is het overigens wel snel helder waar de boetes naar de autoriteit zelf gaan (Spanje is er daar één van) en waar de staat ze -ter voorkoming van beboeting met een "false incentive"- opstrijkt (zoals in NL).
Sinds wanneer is ca 3,5 miljoen euro (3,9 miljoen dollar) bijna 4 miljoen euro?
Ik lees in het artikel (quote):
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
