如事实证明审议N°San-2018-002CNIL刚刚出版了。光学中心眼镜的供应商的罚款为250,000欧元“从客户那里获得数据不足”。该制裁是在2017年7月31日进行的控制之后进行的。
的确,要访问公司的网站并以渐进的方式更改URL的参数是足够的,可以访问数千张发票,并具有名称的钥匙,名字,邮政地址,眼科校正,出生日期和客户社会保险号。访问本应受到特别保护的数据,没有必要特定的技术知识。
在控制过程中,CNIL能够直接下载2085个发票样本。含糊不清的文档总数仍然存在。通过依靠光学中心给出的数字,委员会认为该网站的数据库包含“ 334,769和354,806个文件之间”。
光学中心对此评估提出质疑,表明该网站仅访问了与在线执行订单有关的文件。但是CNIL反驳公司“不提供任何支持此论点的要素”。
初学者的错误
该安全缺陷是通过特别疏忽的网络开发来解释的。正如审议所指定的那样,当互联网用户试图访问这些敏感文档时,该网站没有以身份验证的方式验证其连接。因此,数据向任何人开放。初学者的错误。
“多年来,已经确定了没有事先访问控制的资源的暴露,因为必须将安全故障配对,必须是特殊监视的主题,因此必须在安全审核框架内进行尤其接受检查”,强调CNIL。
该网站上存在多长时间?同样,我们不确切知道。光学中心无法确定其外观日期。但是,该公司指定允许可视化客户文件的代码日期为2016年12月。因此,该缺陷在2016年12月至2017年7月之间可用。
