Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéRésolu

Violation de données chez Virgin Mobile Polska

Une partie non autorisée a exploité une faille dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données personnelles de plus de 114 000 abonnés, dont les numéros d'identité PESEL et les données de carte d'identité. L'autorité polonaise de protection des données a infligé à l'opérateur une amende de près de 2 millions de PLN pour des tests de sécurité insuffisants.

Victime
Virgin Mobile Polska
données
115.0K
utilisateurs
115.0K
SecteurTélécoms
PaysPologne

Le 2 janvier 2020, Virgin Mobile Polska, un opérateur de réseau mobile virtuel polonais, a informé ses clients qu'une personne non autorisée avait accédé aux données personnelles des abonnés en exploitant une faille dans le système d'enregistrement des services prépayés. L'affaire est devenue l'une des actions d'application du RGPD les plus citées de Pologne.

Ce qui s'est passé

Le système informatique de Virgin Mobile Polska était conçu de sorte que l'échange de données entre applications internes ne se produise qu'après vérification de certains paramètres issus des demandes d'enregistrement des clients prépayés — un contrôle censé confirmer que toute demande de transfert de données provenait d'une entité autorisée. En pratique, cette vérification ne fonctionnait pas, et le mécanisme n'avait jamais été correctement testé avant son déploiement.

Une partie non autorisée a découvert la logique de vérification défaillante et l'a utilisée pour extraire des dossiers d'abonnés — abusant essentiellement d'une faille applicative plutôt que de casser un chiffrement ou de voler des identifiants. L'opérateur a détecté la violation en décembre 2019 et a notifié l'autorité de contrôle polonaise (UODO) le 18 décembre 2019.

Impact

  • Les données personnelles de 114 963 abonnés ont été consultées.
  • Les champs exposés comprenaient noms, numéros d'identité nationale PESEL, séries et numéros de carte d'identité, numéros de téléphone et identifiants fiscaux NIP.
  • Les données PESEL et de carte d'identité sous-tendant la vérification d'identité dans la banque et les services publics polonais, les abonnés concernés étaient exposés à un risque élevé de vol d'identité.

Issue réglementaire

Le 3 décembre 2020, l'UODO a infligé une amende de 1 968 524 PLN (environ 460 000 EUR) à Virgin Mobile Polska. La conclusion centrale du régulateur ne portait pas sur la violation elle-même mais sur le manquement de l'entreprise à tester, mesurer et évaluer régulièrement et systématiquement l'efficacité de ses garanties techniques — une violation directe des principes de « sécurité du traitement » et de responsabilité du RGPD. Après que l'opérateur eut contesté la décision et qu'un tribunal l'eut renvoyée, l'autorité de contrôle a réexaminé l'affaire en 2023 et a de nouveau conclu que les mesures étaient inadéquates.

Pourquoi c'est important

L'affaire Virgin Mobile Polska constitue une interprétation marquante de l'article 32 du RGPD : les régulateurs ont clairement indiqué que des examens de sécurité ponctuels ou occasionnels ne satisfont pas à l'exigence de tests réguliers des mesures techniques. Pour les opérateurs télécoms manipulant des numéros d'identité nationale à grande échelle, la décision a souligné qu'une logique applicative non testée est en soi un manquement à la conformité — l'absence d'exploitation connue n'excuse pas l'absence de validation de sécurité proactive.

Chronologie

  1. Une partie non autorisée exploite une faille de vérification dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données des abonnés.

  2. Virgin Mobile Polska notifie à l'autorité polonaise de protection des données (UODO) la violation de données personnelles.

  3. L'opérateur informe publiquement les clients que des confirmations d'enregistrement contenant des données personnelles ont été consultées par une personne non autorisée.

  4. L'UODO inflige une amende de 1 968 524 PLN (environ 460 000 EUR) pour des garanties techniques et organisationnelles insuffisantes, dont l'absence de tests réguliers.

  5. Après un renvoi par un tribunal, l'autorité de contrôle polonaise réexamine l'affaire et juge à nouveau les mesures de sécurité inadéquates.

Sources

  1. edpb.europa.euhttps://www.edpb.europa.eu/news/national-news/2021/polish-dpa-virgin-mobile-polska-incidental-safeguards-review-not-regular_en
  2. dudkowiak.comhttps://www.dudkowiak.com/blog/gdpr-nearly-pln-2-million-fine-imposed-on-virgine-mobile-polska-for-violation-of-the-gdpr.html
  3. edpb.europa.euhttps://www.edpb.europa.eu/news/national-news/2023/polish-sa-has-once-again-investigated-virgin-mobiles-personal-data-breach_en
  4. en.wikipedia.orghttps://en.wikipedia.org/wiki/Virgin_Mobile_Polska

Incidents liés

WiperContenu

Wiper AcidRain contre Viasat KA-SAT

Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.

Victim
Viasat KA-SAT (abonnés en Ukraine et en Europe)
Loss
$100.0M
Exploitation de vulnérabilitéRésolu

Violation de l'appliance Accellion FTA de la Banque de réserve de Nouvelle-Zélande

Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.

Victim
Reserve Bank of New Zealand (Te Pūtea Matua)
Loss
$2.4M