Новостной портал - Испания, ке паса?

Мы собираем главные новости Испании и рассказываем их вам, чтобы лучше понимать страну, в которой мы живём

🏛️Политика

AEPD оштрафовала Bankinter на 400 000 € за утечку данных клиентов EVO

Регулятор признал Bankinter ответственным за утечку из EVO Banco и снизил штраф после оплаты

Auto-Editorial
AEPD оштрафовала Bankinter на 400 000 € за утечку данных клиентов EVO

AEPD признало ответственность Bankinter за инцидент в EVO Banco

Испанское агентство по защите данных AEPD (национальный регулятор персональных данных) оштрафовало Bankinter на 400 000 евро за утечку данных, возникшую в EVO Banco. Регулятор признал Bankinter ответственным как правопреемника после поглощения EVO и учёл, что инцидент произошёл до окончательной фузии. После признания ответственности и добровольной оплаты итоговая сумма штрафа составила 240 000 евро.

Миграция ПО позволила массовые запросы без учётных данных

Bankinter сообщил, что утечка произошла из‑за ручной ошибки конфигурации во время миграции программного обеспечения. Этот сбой позволял выполнять массовые запросы к базе данных без действительных учётных данных. Системы валидации проверяли корректность выдачи данных, но не проверяли, кто именно запрашивал информацию.

Доступ длился четыре дня и затронул сотни досье

Уязвимость оставалась открытой четыре дня в марте 2024 года. За этот период киберпреступник выполнил до пяти миллионов запросов, из которых более 1,2 миллиона оказались успешными. Независимое экспертное заключение, на которое ссылается решение AEPD, не выявило доказательств экспорта всего объёма данных.

Доступные персональные досье включали номера счетов IBAN, декларации по НДС за последний отчётный период, ежемесячные доходы, сведения о занятости и стаже работы. По данным AEPD, злоумышленник получил доступ как минимум к 952 персональным досье.

Публикации в даркнете и контекст слияния Bankinter и EVO

Киберпреступники опубликовали данные 10 жертв на портале в даркнете как доказательство атаки. Затем они потребовали выкуп за удаление информации, в том числе у руководителя кибербезопасности EVO, и после отказа опубликовали дополнительные пакеты данных с профилями 958 клиентов и четырёх сотрудников банка.

В решении AEPD указано, что банк не применял адекватные меры шифрования или анонимизации для данных такого типа. Bankinter приобрёл EVO Banco в 2019 году, окончательное объявление о слиянии стороны сделали в апреле 2024 года, а полная интеграция завершилась 14 июля 2025 года.

Оригинал: источник

Навигация по теме

Категория: Политика Регион: Испания

Что ещё почитать: