Ukryptert lagring av brukernavn og passord gav €20 000 i gebyr


Den tyske meldingstjenesten knuddels.de har fått en bot på €20 000 for brudd på GDPR. Dette er det første offisielle GDPR-gebyret som er utstedt i Tyskland og blant de første slike gebyrer i Europa siden innføringen av GDPR i mai 2018.

Det var tjenesten selv som meldte fra til personvernmyndighetene om at opplysninger var på avveie etter et hackerangrep. Dette har trolig virket noe formildende på dommen, men gebyret sender likevel et tydelig signal om at sikring av personopplysninger er viktig.

Til tross for sikkerhetsbruddet får tjenesten skryt av personvernmyndigheten som mottok meldingen om avvik og har utstedt gebyret. Ved å melde fra umiddelbart, stå på for å rydde opp og samtidig være åpen med sine brukere om hva som har skjedd, har Knuddles håndtert situasjonen så godt som det er mulig å gjøre. Dette vil gi dem verdifull læring og stryke arbeidet deres med IKT-sikkerhet og personvern fremover uttalte personvernmyndigheten som har håndtert saken.

Grunnen til at Knuddles.de fikk et høyt gebyr til tross for at de har håndtert dette på en god måte, er at dataene som ble stjålet var lagret i klartekst. GDPR stiller krav om at slike opplysninger skal krypteres. Omfanget hadde trolig også noe å si for utmålingen av gebyret. Omlag 800 000 e-postadresser og 1.872 000 brukernavn og passord. Disse ble senere publisert på nettet.

Mistenker du at du er berørt av et sikkerhetsbrudd?

Dersom du mistenker at ditt brukernavn, e-postadresse eller passord er på avveier etter dette eller andre datainnbrudd. Bytt passord, sørg for å bruke ulike passord på ulike tjenester og aktiver totrinns-bekreftelse så sant det er mulig.

Les mer om dette på Nettvett.no