DIGI multada em 200.000 euros em Espanha por não validar dados de cliente
A AEPD, agência espanhola de proteção de dados, multou recentemente a operadora DIGI em cerca de 200.000 euros, por alegadas falhas com o RGPD.
A empresa terá sido multada ao abrigo do artigo 6.1 do RGPD, relativamente ao tratamento de dados dos clientes. Mais concretamente, o caso encontra-se relacionado com um cliente da operadora, que teve o seu cartão SIM duplicado devido a falhas na verificação de identidade da empresa.
A acusação aponta que a DIGI não terá aplicado medidas para validar a identidade de um cliente, que teve o seu cartão SIM duplicado quando um terceiro usou a sua informação junto da operadora. Este terá contactado a operadora, em nome do cliente, requerendo um cartão SIM do seu número de telefone em duplicado.
Este terceiro terá conseguido obter o cartão, depois da DIGI falhar na verificação da sua identidade. Com este cartão na sua posse, o atacante terá conseguido aceder a dados bancários da vítima, o que usou para tomar controlo dos mesmos.
A partir do momento que o cartão SIM foi duplicado, o atacante passou a ter acesso a vários sistemas que se encontravam associados ao número do mesmo, incluindo a dados bancários e contas do WhatsApp.
Isto permitiu também recuperar várias passwords para diferentes serviços online, tendo em conta que os mesmos estariam configurados com a recuperação para o número de telefone.
Face à acusação, a DIGI terá alegado que aplicou as medidas necessárias para validar a identidade do cliente, mas que não poderia assumir a responsabilidade por um terceiro ter acesso aos dados telefónicos e bancários do cliente afetado.
É importante ter em conta que esta prática não é inteiramente nova no mercado. A técnica é conhecida como “SIM swapping”, e basicamente consiste em os atacantes conseguirem obter um duplicado do cartão SIM das vítimas, que usam depois para acesso a diversa informação sensível e pessoal.
A AEPD acredita que a multa aplicada na DIGI pode incentivar outras operadoras a terem cuidados redobrados na verificação da identidade dos seus clientes.