La Autoridad de Protección de Datos Francesa (la CNIL, por sus siglas en francés) ha hecho publica una sanción a un Responsable del Tratamiento y a uno de sus Encargados del Tratamiento por no haber implementado medidas suficientes para prevenir el «credential stuffing» en su página web.
El «credential stuffing» es un tipo de ciberataque en el que el atacante utiliza listas de credenciales de usuarios que se han visto comprometidas durante una brecha de seguridad para, posteriormente y con la ayuda de bots, intentar acceder con ellas a distintos sitios webs, aprovechándose de que muchos usuarios utilizan las mismas credenciales en varias cuentas.
Responsable y Encargado del Tratamiento tardaron más de un año desde que se produjeron los primeros ataques en desarrollar una herramienta que permitiera detectar y bloquear los ataques lanzados desde bots. Durante ese periodo, la CNIL alega que pudieron implementar otras medidas de mitigación, como la inserción de un CAPTCHA (difícil de sortear para un bot) o la limitación del número de consultas al sitio web permitidas por cada IP.
El hecho de que Responsable y Encargado no implantaran medidas suficientes para hacer frente a este tipo de ataques supone un incumplimiento del art. 32 RGPD. Aunque la CNIL no ha revelado el nombre de los sancionados, sí ha hecho público que el sitio web afectado es frecuentado de forma habitual por millones de personas que realizan en él sus compras online. En particular, terceros no autorizados tuvieron acceso a los datos de alrededor de 40.000 clientes entre marzo de 2018 y febrero de 2019. Entre los datos comprometidos se encuentran el nombre y los apellidos de los usuarios, sus direcciones de correo electrónico, el número y el saldo de su tarjeta de fidelización y distinta información relativa a los pedidos efectuados en el sitio web.
Las sanciones impuestas al Responsable del Tratamiento y al Encargado del Tratamiento ascienden a 150 000 euros y 75 000 euros, respectivamente.