L'obligation de notification en cas de violation des données selon l'art. 33 du RGPD et l'art. 34 du RGPD peut s'avérer fatale pour la personne concernée.

Cet article a été publié pour la première fois sur ITK SECURITY.

Dernière mise à jour il y a 1 an par Patrick Ruppelt

Temps de lecture : 3 minutes

Comme les Monde1) Comme on le rapporte aujourd'hui, le plus grand fournisseur de streaming porno en direct "Cam4" a mis en ligne toutes sortes de données sensibles d'utilisateurs sans les protéger.

Un total de 10,8 milliards d'enregistrements avec des informations sur les adresses e-mail, les informations de carte de crédit d'environ 15 millions d'utilisateurs ainsi que l'historique complet des chats et des informations sur les préférences sexuelles. Un jeu d'enfant de comparer cela avec Facebook, Instagram, Xing et LinkedIn.

Le siège de la société Granity Entertainment DAC, qui gère "Cam4", se trouve curieusement à Dublin, en Irlande. Il sera donc intéressant de voir comment Granity va se soustraire aux dispositions du RGPD. Il n'y a aucune raison de ne pas agir conformément aux règles européennes et d'informer immédiatement toutes les personnes concernées de l'incident.

Peut-être qu'on choisira de réserver une page 1/1 dans chaque pays concerné, dans un quotidien avec une portée suffisamment grande et d'en faire la publicité. En Allemagne, il n'y a (à ma connaissance) que le FAZ qui pourrait être envisagé pour un tel "article de remplacement". Et si c'est vraiment justifiable - après tout, Granity a toutes les données de contact et les informations nécessaires pour le faire. peut Informer toutes les personnes concernées sans aucun problème - c'est ce qu'il reste à faire. Voyons si demain, une page entière sera consacrée à ce sujet dans le FAZ, nous en saurons alors plus.

Sinon, la seule solution est d'informer chaque utilisateur individuellement de la violation de données.

Mais est-ce que les utilisateurs sont d'accord ? Surtout si la femme consulte aussi la boîte aux lettres et voit quels sont les jeunes et les fantasmes sexuels du fidèle époux, c'est une autre question.

Mise à jour 8.8.2020 : Le fournisseur Cam4 nous a fait part de son droit de réponse. Tu trouveras celle-ci ici2).

Dans la réplique, on peut lire

Des développeurs et des spécialistes de la sécurité ont immédiatement été mobilisés pour poursuivre l'enquête, et l'équipe a conclu sans aucun doute que absolument aucune information personnellement identifiable, y compris les noms, adresses, e-mails, adresses IP ou données financières, n'était illégalement accessible à quiconque en dehors de la société SafetyDetectives et des enquêteurs de la société CAM4.

C'est bien emballé au niveau marketing, cela donne l'impression que tout n'était pas si grave. Mais ce n'est que la moitié de la vérité.

C'est seulement parce que les chercheurs en sécurité de SafetyDetectives ont fait confiance à la découverte et n'ont extrait que quelques enregistrements à titre d'exemple que des dommages plus importants ont été évités. Mais les données étaient bien accessibles et tous les mécanismes de protection de l'entreprise ont échoué. La fuite de données était exactement telle que nous l'avons décrite.

Un "hacker" aurait tout aussi bien pu trouver les données et les télécharger illégalement. Ce n'est pas parce que cela ne s'est pas produit en raison d'un heureux hasard que tout était en ordre.

Répertoire des sources

↑1https://www.welt.de/wirtschaft/article207787719/Datenleck-Warum-15-Millionen-Nutzer-eines-Pornoportals-bald-Post-bekommen-koennten.html
↑2https://cam4.de.com/magazin/cam4-reagiert-auf-vorwuerfe-von-sicherheitsverletzungen/