A autoridade francesa de proteção de dados, CNIL, aplicou multas totais de 42 milhões de euros à Free Mobile e à sua controladora, Free, por falhas na proteção dos dados dos clientes contra ameaças cibernéticas.
A Free Mobile, segunda maior provedora de internet da França, sofreu um vazamento de dados em outubro de 2024, que expôs informações de cerca de 23 milhões de assinantes móveis e fixos.
Hackers invadiram a ferramenta de gestão da empresa e roubaram dados sensíveis dos clientes, que foram posteriormente oferecidos à venda em um fórum de hackers.
A oferta partiu de uma conta chamada "drussellx" e alegava que o ataque atingiu 19,2 milhões de clientes, incluindo os IBANs de aproximadamente 25% deles.
Após investigação, a CNIL concluiu que, embora a Free tenha melhorado sua postura de segurança após o incidente, a negligência anterior configura violação de diversas disposições do Regulamento Geral de Proteção de Dados (GDPR).
“Diante de mais de 2.500 reclamações de pessoas afetadas pelo vazamento, a CNIL realizou uma inspeção que revelou infrações a várias obrigações previstas no GDPR, atribuídas à Free Mobile e à Free, cada uma como controladora dos dados de seus próprios assinantes”, afirmou a agência francesa.
As principais falhas identificadas foram:
- Segurança insuficiente dos dados (Artigo 32 do GDPR): Free Mobile e Free adotavam medidas de segurança inadequadas, como autenticação fraca em VPN para acesso remoto de funcionários e sistemas ineficazes para detectar atividades anormais, facilitando a invasão.
- Comunicação ineficaz aos clientes afetados (Artigo 34 do GDPR): embora as empresas tenham notificado os usuários, os e-mails careciam de informações detalhadas e não explicavam claramente as consequências do vazamento ou as medidas para mitigar riscos.
- Retenção excessiva de dados pessoais (Artigo 5, inciso 1, alínea e do GDPR): Free Mobile armazenava dados pessoais de milhões de ex-assinantes por períodos superiores ao necessário, sem realizar triagem ou exclusão em tempo hábil, além do que seria justificado para fins contábeis.
A CNIL determinou que as empresas completem as medidas de segurança nos próximos três meses e exigiu que a Free Mobile conclua a triagem e exclusão dos dados excedentes em até seis meses.
Após o vazamento na Free Mobile, a França registrou outros incidentes que expuseram clientes ou causaram interrupções nos serviços das principais operadoras de telecomunicações.
Em julho de 2025, a Orange France anunciou a detecção de uma falha nos seus sistemas que gerou impactos operacionais.
No mês seguinte, a Bouygues Telecom sofreu um vazamento que expôs dados sensíveis de 6,4 milhões de clientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...