Dedalus için fatura tuzlu. 500.000 Fransız vatandaşını etkileyen sağlık verileri sızıntısının üzerinden bir yıldan fazla zaman geçti. CNIL, 1,5 milyon avroluk bir para cezası uyguladığını bildiren bir duyuru yayınladı. tıbbi laboratuvarlar için yazılım geliştirme konusunda uzmanlaşmış bir yazılım yayıncısı olan Dedalus’a.
Bu yayıncı, davaya dahil olduğu için birkaç kez seçilmişti. çoklu ortam böylece veri sızıntısından etkilenen çeşitli laboratuvarlar arasındaki ortak noktanın Dedalus çözümlerini kullanmaları olduğunu belirtti. Sızıntıdan birkaç ay önce, SonrakiInpact Dergisi eski bir Dedalus çalışanının tespit ettiği ve yayıncının düzeltmekte geç kaldığı güvenlik açıklarını zaten tespit etmişti.
bu CNIL müzakeresi Söz konusu sızıntının kaynağı hakkında daha fazla ayrıntı sunuyor: çeşitli kontrollerin ardından Komisyon, Kasım 2020’de Anssi ajanları tarafından daha küçük boyutta bir ilk veri sızıntısının gözlemlendiğini ve yazılım yayıncısına bildirildiğini açıklıyor. Şubat 2021’de 500.000 Fransız vatandaşının verilerini içeren dosyanın bulunmasının ardından, Dedalus şirketi tarafından yürütülen bir iç soruşturma başlatıldı. Bu, “Anssi tarafından iletilen dosyanın verileri ile MEGABUS uzaktan bakım sunucusunda barındırılan bir FTP sunucusunda bulunan veriler arasında bir yazışma kurdu”, Megabus, Dedalus’un bir yan kuruluşu tarafından pazarlanan bir çözümün adıdır.
Her seviyede kusurlar
Bu nedenle CNIL raporu, Dedalus tarafından müşterilerinin verilerinin taşınmasını düzenlemek için kullanılan bu FTP sunucusunda uygulanan güvenlik önlemlerinin olmadığının altını çiziyor: sunucuya, Kasım 2020’ye kadar kimlik doğrulaması olmadan İnternet’ten ücretsiz olarak erişilebilirdi. Anssi’nin ilk raporunda, verilere erişimi korumak için kimlik doğrulama kontrolleri eklendi, ancak CNIL, “sunucunun özel alanına birkaç çalışan arasında paylaşılan kullanıcı hesaplarıyla erişilebildiğini bildirdi. Bununla birlikte, paylaşılan hesapların kullanımı, orantısız, ancak kolayca önlenebilir bir risk teşkil eder ve işlem güvenliği açısından risk oluşturur ve uzlaşma riskini önemli ölçüde artırır. »
Bu kimlik doğrulama eksikliğine ek olarak, CNIL, “FTP sunucusunda güvenlik uyarılarını izlemek ve yükseltmek için hiçbir prosedür uygulanmadığını belirtir. Şüpheli IP adreslerinden gelen bağlantılar bu nedenle algılanmadı veya işlenmedi. “Ve CNIL tarafından not edilen liste uzundur, şunları içerir:” şifrelemenin olmaması, verilerin taşınmasından sonra otomatik olarak silinmemesi, sunucunun genel bölgesine erişmek için İnternet’ten gereken kimlik doğrulamasının olmaması ve kullanımı paylaşılan kullanıcı hesapları Komisyon tarafından bugün uygulanan yaptırımı haklı çıkaran kişisel verilerin güvenliğini sağlama yükümlülüğünün çok sayıda ihlali.
Buna ek olarak Komisyon, Dedalus içinde gerçekleştirdiği kontroller sırasında GDPR’ye aykırı başka noktalara da dikkat çekmiştir: bu nedenle, Dedalus’un başka bir yazılıma geçiş bağlamında “gerekenden daha büyük miktarda veri çıkardığını” tespit ettiğini belirtir. iki laboratuvar tarafından talep edilen araç ve son olarak genel satış hüküm ve koşulları ile bakım sözleşmelerinin GDPR’ye uygun olmadığı.