Breșa de securitate la site-ul francez de știri al revistei L’Express, caz investigat şi relatat de către jurnaliştii ZDNet, este exemplul potrivit pentru a ilustra modul în care organizațiile media europene iau în serios măsurile impuse de GDPR, cu puțin timp înainte ca acesta să devină obligatoriu.

Fapte:

O bază de date cu informații care vizau peste 693.000 de cititori și cu alte informații critice pentru operațiunile online ale revistei a fost descoperită din întâmplare de un tânăr absolvent de liceu care lucrează în domeniul securității pentru un contractant major din domeniul apărării.

Cu ajutorul unui intermediar, Mickey Dimov i-a contactat pe reprezentanții revistei L’Express pentru raportarea vulnerabilității în luna ianuarie, dar fără succes. În lipsa unui răspuns, tânărul a apelat la jurnaliștii ZDNet, care au preluat investigarea cazului şi au continuat să alerteze oficialii revistei privind expunerea datelor cititorilor.

În timp ce aștepta o reacție din partea revistei, Dimov a protejat baza de date vulnerabilă pe care o descoperise de un atac de tip ransomware. Frustrat că nu primește niciun răspuns din partea reprezentanților organizației media, specialistul în securitate cibernetică a luat problema „personal” și a luptat împotriva atacurilor de răscumpărare prin duplicarea și restaurarea tabelelor, prevenind astfel orice pierdere de date, relatează ZDNet.

„Nu am vrut ca această bază de date să fie ștearsă deoarece am fost îngrijorat că ar fi afectat site-ul și infrastructura lor într-un mod major. Au fost o mulțime de colecții care arătau ca și cum ar fi fost critice pentru prima pagină și pentru sistemul de alertă pe care îl foloseau să transmită știrile”, a mărturisit tânărul jurnaliștilor de la ZDNet.

Reacție:

Abia după ce au fost contactată de jurnaliştii de la ZDNet, redactorul şef L’Express Emma Defaud a confirmat în prima fază breşa de securitate şi scurderea de date, precizând că este recunoscătoare raportării primite şi că problemele au fost rezolvate.

Aceasta a revenit cu alte completări şi a declarat că L’Express ar fi fost, de fapt, victima unei intruziuni neautorizate pe unul dintre serverele de test, care ar fi fost inactiv în momentul incidentului.

După ce au verificat unele informaţii din baza de date, jurnaliştii de la ZDNet au precizat că fiecare înregistrare din tabele conţinea numele şi prenumele utilizatorului, adresa de email şi fotografia de profil, informaţii despre locul de muncă şi istoricul profilului de cititor. Redactorul şef L’Express a confirmat că printre datele stocate pe acel server nu se regăseau parole sau detalii bancare.

Un conflict de informaţii între oficialul L’Express şi jurnaliştii ZDNet face referire la vechimea conţinutului de pe server. Defaud spune că datele conturilor stocate aparţin utilizatorilor serviciului communaute.lexpress.fr, indisponibil la momentul breşei de securitate, ca urmare a unor comentarii şi solicitări de newsletter făcute în 2016, iar analiza ZDNet arată că cea mai recentă informaţie datează din februarie 2018.

Prevederi legislative privind protecţia datelor personale:

Actuala legislaţie franceză prevede ca orice informaţie personală colectată pentru un serviciu care nu mai există să fie eliminată sau anonimizată complet. În acest caz, jurnaliştii ZDNet s-au sesizat din nou după explicaţiile primite din partea L’Express, dar fără succes.

În contextul intrării în vigoare a GDPR la 25 mai, organizaţiile media nu sunt scutite de aplicarea prevederilor privind protejarea datelor cititorilor. Cazul L’Express, din punctul de vedere al informaţiilor expuse, nu prezintă un nivel crescut de risc, după cum precizează jurnaliştii. Prevederile GDPR includ însă tipurile de date găsite neprotejare pe serverul L’Express şi impun măsuri privind raportarea incidentului autorităţilor competente, ceea ce nu s-a întâmplat în acest caz.

(Sursa foto: ZDNet.com)

Resurse baza de date bresa de securitate data breach Emma Defaud Franta front GDPR implementare GDPR jurnalist L'Express mass-media media Mickey Dimov organizatie media protectia datelor ransomware Regulament General pentru Protecţia Datelor revista scurgere de date studiu de caz ZDNet