12 de junio de 2018 : Yahoo es multado por la violación de datos La Oficina del Comisionado de Información (ICO) ha multado a Yahoo con 250.000 libras esterlinas por una violación de datos, tras un ciberataque ocurrido en 2014. Dado que el incidente es anterior al GDPR, la investigación de la ICO se llevó a cabo bajo la Ley de Protección de Datos de 1998. La violación de datos dio lugar al robo de datos personales de 500 millones de personas. Se cree que los nombres, las direcciones de correo electrónico, los números de teléfono, las fechas de nacimiento, las contraseñas cifradas y algunas "preguntas y respuestas de seguridad cifradas o no cifradas" se vieron comprometidas. En una entrada del blog relativa a la investigación de la OIC, el Comisario Adjunto de Operaciones de la OIC, James Dipple-Johnstone, declaró:
Los ciudadanos esperan que las organizaciones mantengan sus datos personales a salvo de intrusos malintencionados que pretendan explotarlos. Los fallos detectados en nuestra investigación no son los que esperamos de una empresa que tuvo una amplia oportunidad de aplicar las medidas adecuadas y evitar potencialmente que los datos de los ciudadanos británicos se vieran comprometidos.
De los 500 millones de registros comprometidos, 515.121 cuentas pertenecían a residentes en el Reino Unido, por lo que Yahoo UK Services Ltd es responsable de cualquier fallo en la protección de los datos según la legislación británica. A pesar de las pruebas de que la empresa conocía la brecha poco después de que se produjera a finales de 2014, Yahoo no reveló abiertamente el incidente hasta septiembre de 2016.
Uno de los más notorios
Se cree que aproximadamente ocho millones de las cuentas comprometidas pertenecen a personas del Reino Unido. La investigación de la ICO también descubrió:
-
La firma no se aseguró de que su procesador de datos, propiedad de Yahoo, "cumpliera con las normas de protección de datos adecuadas"
-
No garantizó el control de las credenciales de los empleados con acceso a los datos de los clientes
-
Hubo "un largo período de tiempo" antes de que se descubrieran o solucionaran los fallos que condujeron a la brecha
En 2017 Verizon adquirió Yahoo y la fusionó con AOL, para formar una nueva empresa llamada Oath. La empresa fue investigada en virtud de la antigua Ley de Protección de Datos del Reino Unido de 1988, que es anterior al nuevo GDPR. El director general de Egress Software Technologies, Tony Pepper, fue citado diciendo que la violación de datos sería recordada como "una de las más notorias", debido a su tamaño y al período de dos años entre el ataque y el informe.
"Aunque la multa ha tardado en llegar, imagino que habrá algunos suspiros de alivio porque la investigación se llevó a cabo bajo la Ley de Protección de Datos, en lugar de la GDPR, que tiene consecuencias mucho más duras para una violación", dijo Tony Pepper.
Con aproximadamente 679.000 resultados para el término de búsqueda Multas a Yahoo por violación de datos esta ha sido una de las noticias más importantes en torno al GDPR hasta ahora. Otra impactante historia de violación de datos aquí.
