ΟΙ ΜΕΓΑΛΥΤΕΡΕΣ ΠΑΡΑΒΙΑΣΕΙΣ ΤΗΣ ΝΟΜΟΘΕΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΗΝΩΜΕΝΟ ΒΑΣΙΛΕΙΟ

Η παραβίαση προσωπικών δεδομένων αποτελεί μία από τις σοβαρότερες απειλές για την ασφάλεια ιδιωτών και επιχειρήσεων. Παρακάτω παρουσιάζονται οι μεγαλύτερες παραβιάσεις δεδομένων των τελευταίων ετών στο Ηνωμένο Βασίλειο, βάσει του αντίκτυπού τους, του αριθμού των ατόμων που επηρεάστηκαν, των τύπων δεδομένων που εκτέθηκαν, καθώς και του τρόπου με τον οποίο συνέβησαν.

1. Dixons Carphone
Ημερομηνία: Ιούλιος 2017 – Απρίλιος 2018
Αντίκτυπος: 14 εκατομμύρια προσωπικά αρχεία και 5,6 εκατομμύρια στοιχεία καρτών πληρωμής.

Περιγραφή: Η Dixons Carphone (πλέον Currys) υπέστη σοβαρή παραβίαση, κατά την οποία hackers εγκατέστησαν κακόβουλο λογισμικό σε περισσότερα από 5.000 ταμεία, αποκτώντας πρόσβαση σε προσωπικά δεδομένα, όπως ονόματα, διευθύνσεις και αριθμούς πιστωτικών καρτών. Η εταιρεία καθυστέρησε σημαντικά να αποκαλύψει το μέγεθος της επίθεσης, γεγονός που προκάλεσε περαιτέρω απώλεια εμπιστοσύνης από το κοινό. Η ICO της επέβαλε πρόστιμο 500.000 λιρών για συστημικές ελλείψεις στην ασφάλεια δεδομένων

2. Equifax
Ημερομηνία: 2011-2016
Αντίκτυπος: Περίπου 15,2 εκατομμύρια αρχεία πελατών.

Περιγραφή: Η Equifax, μια από τις μεγαλύτερες εταιρείες παρακολούθησης πιστοληπτικής ικανότητας, υπέστη σοβαρή κυβερνοεπίθεση, κατά την οποία εκτέθηκαν στοιχεία πιστωτικών καρτών, άδειες οδήγησης και προσωπικά δεδομένα. Η καθυστέρηση στην αντίδραση και η ανεπαρκής ασφάλεια οδήγησαν σε πρόστιμο 500.000 λιρών από την ICO.

3. EasyJet
Ημερομηνία: Οκτώβριος 2019 – Μάρτιος 2020
Αντίκτυπος: 9 εκατομμύρια πελάτες και 2.200 στοιχεία πιστωτικών καρτών.

Περιγραφή: Μια «εξελιγμένη» κυβερνοεπίθεση επέτρεψε την πρόσβαση σε εκατομμύρια αρχεία πελατών, με την EasyJet να καθυστερεί την ενημέρωση του κοινού. Οι επιτιθέμενοι απέκτησαν πρόσβαση σε στοιχεία πληρωμής, προκαλώντας ανησυχία για πιθανή απάτη. Η ICO διερευνά ακόμα το περιστατικό, με την εταιρεία να κινδυνεύει με πρόστιμο έως 4% του κύκλου εργασιών της.

4. The National Health Service (NHS)
Ημερομηνία: Ιούλιος 2011 – Ιούλιος 2012
Αντίκτυπος: Πάνω από 1,8 εκατομμύρια αρχεία ασθενών και εργαζομένων.

Περιγραφή: Σειρά παραβιάσεων από διάφορα τμήματα του NHS οδήγησε σε σημαντική διαρροή ευαίσθητων ιατρικών δεδομένων. Η ICO επέβαλε υψηλά πρόστιμα σε διάφορα NHS Trusts για ανεπαρκή διαχείριση δεδομένων, με περιπτώσεις όπως αποστολή φαξ σε λάθος παραλήπτες και μη ασφαλή απόρριψη ηλεκτρονικών συσκευών.

5. Virgin Media
Ημερομηνία: Μάρτιος 2020
Αντίκτυπος: 900.000 πελάτες.

Περιγραφή: Λανθασμένη διαμόρφωση βάσης δεδομένων από υπάλληλο που άφησε εκτεθειμένα δεδομένα πελατών για σχεδόν 10 μήνες. Ενώ δεν υπήρξε διαρροή κωδικών, η εταιρεία αντιμετώπισε συλλογική αγωγή ύψους 4,5 δισ. λιρών.

6. JD Wetherspoon
Ημερομηνία: Ιούνιος 2015
Αντίκτυπος: 650.000 πελάτες.

Περιγραφή: Η αλυσίδα παμπ JD Wetherspoon υπέστη παραβίαση δεδομένων που εξέθεσε προσωπικά δεδομένα 650.000 πελατών, τα οποία κατέληξαν στο dark web. Η ICO δεν επέβαλε πρόστιμο με το επιχείρημα ότι δεν παραβιάστηκαν οικονομικά δεδομένα.

7. British Airways
Ημερομηνία: Ιούνιος 2018 – Σεπτέμβριος 2018
Αντίκτυπος: 500.000 στοιχεία καρτών πληρωμής.

Περιγραφή: Hackers εκμεταλλεύτηκαν τα αδύναμα μέτρα ασφαλείας της εταιρίας, ανακατευθύνοντας χρήστες σε πλαστό ιστότοπο πληρωμών. Η British Airways αρχικά αντιμετώπισε πρόστιμο 183 εκατομμυρίων λιρών, το οποίο τελικά μειώθηκε σε 20 εκατομμύρια.

8. Wonga
Ημερομηνία: Απρίλιος 2017
Αντίκτυπος: 270.000 αρχεία πελατών.

Περιγραφή: Η μεγαλύτερη εταιρεία δανείων πληρωμών του Ηνωμένου Βασιλείου υπέστη παραβίαση δεδομένων που εξέθεσε σε κίνδυνο οικονομικά στοιχεία 270.000 πελατών. Η εταιρεία τέθηκε σε καθεστώς διαχείρισης, οδηγώντας στο κλείσιμό της.

9. Three Mobile UK
Ημερομηνία: Νοέμβριος 2016
Αντίκτυπος: 130.000 αρχεία πελατών.

Περιγραφή: Η Three Mobile UK υπέστη κυβερνοεπίθεση που επέτρεψε σε hackers να αποκτήσουν πρόσβαση σε προσωπικά στοιχεία πελατών μέσω διαπιστευτηρίων υπαλλήλου. Τρία άτομα συνελήφθησαν για την απάτη.

10. TalkTalk
Ημερομηνία: Οκτώβριος 2015
Αντίκτυπος: 157.000 εγγραφές.

Περιγραφή: Η TalkTalk υπέστη παραβίαση δεδομένων λόγω SQL injection, εκθέτοντας προσωπικά και οικονομικά δεδομένα πελατών. Η ICO της επέβαλε πρόστιμο 400.000 λιρών.

11. Interserve
Ημερομηνία: Μάιος 2020
Αντίκτυπος: 113.000 αρχεία προσωπικού.

Περιγραφή: Η Interserve υπέστη παραβίαση λόγω phishing, εκθέτοντας ευαίσθητα προσωπικά δεδομένα υπαλλήλων της. Της επιβλήθηκε πρόστιμο 4,4 εκατομμυρίων λιρών.

12. Camelot Group
Ημερομηνία: Νοέμβριος 2016
Αντίκτυπος: 26.500 αρχεία πελατών.

Περιγραφή: Η εταιρεία που διαχειρίζεται την Εθνική Λοταρία του Ηνωμένου Βασιλείου υπέστη παραβίαση δεδομένων, με τους επιτιθέμενους να αποκτούν πρόσβαση σε 26.500 από τα 9,5 εκατομμύρια αρχεία πελατών. Τα παραβιασθέντα δεδομένα περιλάμβαναν ονόματα πελατών, ημερομηνίες γέννησης, ιστορικό συναλλαγών, προτιμήσεις λογαριασμού, τα τέσσερα τελευταία ψηφία και την ημερομηνία λήξης των καρτών πληρωμής. Η Camelot μπόρεσε να αναστείλει γρήγορα όλους τους επηρεαζόμενους λογαριασμούς και συνεργάστηκε στενά με το NCSC για τη σύλληψη των εγκληματιών. Η ICO δεν επέβαλε πρόστιμα μετά το περιστατικό.

13. Debenhams Flowers
Ημερομηνία: Φεβρουάριος 2017 – Απρίλιος 2017
Αντίκτυπος: 26.000 πελάτες.

Περιγραφή: Η εταιρεία λιανικής πώλησης Debenhams ανέφερε παραβίαση δεδομένων 26.000 πελατών μέσω τρίτης εταιρείας ηλεκτρονικού εμπορίου. Επηρεάστηκαν μόνο οι πελάτες της Debenhams Flowers και όχι οι πελάτες της Debenhams.com. Τα δεδομένα που εκτέθηκαν σε κίνδυνο περιλάμβαναν ονόματα, διευθύνσεις και στοιχεία πληρωμής. Η επίθεση κακόβουλου λογισμικού είχε ως στόχο την Ecomnova και επηρέασε 26.000 πελάτες για έξι εβδομάδες. Η Debenhams έκλεισε αμέσως τον ιστότοπο Debenhams Flowers, ενημέρωσε τους πελάτες και δεν επιβλήθηκε πρόστιμο καθώς δεν καταγράφηκε περαιτέρω κατάχρηση δεδομένων.

14. Travelex
Ημερομηνία: Δεκέμβριος 2019
Αντίκτυπος: 17.000 πελάτες.

Περιγραφή: Την παραμονή της Πρωτοχρονιάς του 2019, η εταιρεία ανταλλαγής συναλλάγματος Travelex υπέστη επίθεση ransomware (Sodinokibi) με τους κυβερνοεγκληματίες να αποκλείουν τους υπαλλήλους από το σύστημά τους και να σταματούν τις συναλλαγές συναλλάγματος σε όλο το Ηνωμένο Βασίλειο. Σε απάντηση, η εταιρεία έκλεισε τους ιστότοπους σε 30 χώρες. Οι hackers απαίτησαν λύτρα ύψους 5 εκατομμυρίων λιρών για την ασφαλή επιστροφή των δεδομένων. Η εταιρεία, αδυνατώντας να διαχειριστεί σωστά την κρίση, υπέστη μεγάλες οικονομικές απώλειες, κατέβαλε μέρος των λύτρων και τελικά τέθηκε σε καθεστώς διαχείρισης.

15. Tesco Bank
Ημερομηνία: Νοέμβριος 2016
Αντίκτυπος: 8.261 πελάτες και κλοπή 2,26 εκατομμυρίων λιρών.

Η Tesco Bank έπεσε θύμα κυβερνοεγκληματιών, οι οποίοι κατάφεραν να αποσπάσουν 2,26 εκατομμύρια λίρες από τραπεζικούς λογαριασμούς πελατών. Η επίθεση εκμεταλλεύτηκε αδυναμίες στο σύστημα διανομής των καρτών της τράπεζας, επιτρέποντας στους hackers να δημιουργήσουν πλαστές χρεωστικές κάρτες. Παρότι η τράπεζα αντέδρασε γρήγορα, το πρόστιμο που της επιβλήθηκε από την FCA (Financial Conduct Authority) ανήλθε σε 16,4 εκατομμύρια λίρες.

[ΠΗΓΗ: https://www.upguard.com/blog/biggest-data-breaches-uk]

 

Για οποιαδήποτε περαιτέρω πληροφορία και διευκρίνιση σε σχέση με ζητήματα ιδιωτικότητας και προσωπικών δεδομένων, μη διστάσετε να επικοινωνήσετε με την εξειδικευμένη νομική μας ομάδα, έτοιμη να σας παράσχει εξατομικευμένες πληροφορίες προσαρμοσμένες στις ανάγκες σας.

Zωή Αθανασιάδου (LL.M., Ph.D. c.)
Δικηγόρος-Νομικός σύμβουλος & Data Protection Officer (DPO)
Email: info@zoiathanasiadou.com
Telephone: +30 23140 62173
Website: www.zoiathanasiadou.com