Komisi Nasional untuk Teknologi Informasi dan Kebebasan (Cnil) telah mengenakan denda sebesar 27 juta euro pada Free Mobile dan 15 juta euro pada Free Mobile menyusul pencurian besar-besaran data pelanggan pada tahun 2024, sebuah keputusan yang diterbitkan Rabu ini di Jurnal Resmi dan, menurut operator, “keparahan yang belum pernah terjadi sebelumnya”.
CNIL telah memberikan sanksi kepada kedua perusahaan ini, yang tergabung dalam grup Iliad, karena “pelanggaran” dalam keamanan data rahasia pelanggan mereka sebagai bagian dari peretasan yang memengaruhi lebih dari 24 juta kontrak pada Oktober 2024, menurut keputusan CNIL pada 8 Januari. Komisi juga memerintahkan Free dan Free Mobile untuk ‘mengambil tindakan teknis dan organisasi yang tepat dalam waktu tiga bulan untuk memastikan tingkat keamanan yang sesuai dengan risikonya’.
Seorang anak di bawah umur berusia 16 tahun didakwa
“Tanpa tindakan apa pun, keputusan ini memiliki tingkat keparahan yang belum pernah terjadi sebelumnya dibandingkan dengan preseden di bidang serangan siber,” jawab Free. “Oleh karena itu kami akan mengajukan banding kepada Dewan Negara untuk menegaskan hak-hak kami dan meminta peninjauan atas keputusan ini,” tambah operator tersebut, yang menunjukkan bahwa mereka telah memperkuat “arsitektur keamanan” sejak insiden tersebut. Seorang anak di bawah umur berusia 16 tahun yang diduga sebagai pelaku pencurian didakwa pada Januari 2025.
Penyerang sendiri mengumumkan kepada Free Mobile bahwa dia telah membobol sistem informasi dan mengambil data pelanggan dari operator dan penyedia akses, kenang CNIL dalam keputusannya. Identitas, kontak, rincian kontrak dan, untuk pelanggan tertentu, IBAN mereka dicuri.
Proses terpisah telah dimulai terhadap kedua entitas tersebut, yang masing-masing memiliki tanggung jawab terkait sistem informasinya sendiri, kata CNIL, yang menerima lebih dari 2.000 pengaduan dari orang-orang yang terkena dampak pelanggaran ini. Selama pemeriksaan, CNIL juga mencatat “adanya data terkait lebih dari 15 juta kontrak yang diakhiri selama lebih dari lima tahun, tiga juta di antaranya selama lebih dari sepuluh tahun, yang “jelas berlebihan” dan melanggar aturan pemrosesan data pribadi (GDPR).
