În timp ce angajații Altex îi șantajează pe față pe clienți, pentru le a furniza datele personale, respectivele informații ajung pe internet, la cheremul hackerilor: nume, prenume, adrese de e-mail și numere de telefon, precum și adrese de livrare și… informații bancare!

Foto: facebook.com

Pentru a obține informațiile personale ale clienților, angajații Altex au recurs, în ultima perioadă, la un veritabil șantaj: au afirmat că cei care nu le oferă numărul de telefon nu vor beneficia de garanția produsului cumpărat.
Cel puțin, asta se întâmplă în magazinul din complexul comercial Vulcan din București, iar probele deținute de YEET.ro demonstrează că acțiunea este dirijată chiar de conducerea magazinului, care afirmă că „asta este politica firmei”.

Cei mai mulți clienți s-au conformat și au oferit numărul de telefon și numele, de teamă că nu vor putea returna produsul, în cazul unei defecțiuni – fiindcă asta au susținut angajații Altex.

Fapta angajaților Altex, de a condiționa o persoană să facă ceva împotriva voinței sale, intră, teoretic, în sfera penală, în condițiile în care clientul are, conform legii, și drepturi, nu doar obligația de a scoate bani din buzunar.

Foto: https://www.facebook.com/events/939408392761617/

Și, totuși, ce se întâmplă cu datele personale ale clienților șantajați să ofere datele personale la casele de marcat ale firmei Altex, sub amenințarea că nu vor beneficia de drepturile legale, dacă nu oferă numărul de telefon? Ajung pe internet, la cheremul hackerilor!

Iată ce susține Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, într-un comunicat:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna octombrie 2024, o investigație la operatorul Altex România S.A. și a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și ale art. 32 alin. (2) din Regulamentul (UE) 2016/679 (GDPR).

Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 99.516 lei, echivalentul a 20.000 EURO.

Investigația a fost demarată ca urmare a faptului că Altex România S.A. a transmis Autorității naționale de supraveghere două notificări cu privire la producerea unor încălcări a securității datelor cu caracter personal, astfel:

a) Operatorul a fost informat prin email de către un terț cu privire la faptul că unele conturi ale clienților operatorului au fost publicate pe o platformă, fiind afectate date cu caracter personal ale unui număr de foarte mare de persoane vizate, respectiv: nume, prenume, email, parola cont altex.ro, informații disponibile în contul de client, precum adresă de livrare, nr. telefon, istoric comenzi, date referitoare la cardurile cu care se efectuează plata online, comunicări în relația cu operatorul;

b) Operatorul a constatat că a fost victima unui atac informatic de tip „credential stuffing”, prin încercări repetate de validare a parolelor asupra unor conturi ale clienților pentru plasarea de comenzi de carduri cadou; s-a precizat că au fost afectate, pentru un număr de aproximativ semnificativ de persoane vizate, următoarele date cu caracter personal: datele de identificare pentru logare în cont client: nume, prenume, adresa email, parola acces cont client, date financiare referitoare la carduri bancare înregistrate în aplicație/site.

În cadrul investigației s-a constatat că operatorul Altex România S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, pentru a preveni accesarea în mod ilegal a conturilor clienților operatorului. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de foarte mare de clienți ai operatorului prin intermediul a două atacuri informatice distincte ce presupun preluarea controlului asupra unor conturi.

Totodată, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-au dispus următoarele măsuri corective:

– Implementarea tehnică și procedurată a următoarelor măsuri de diminuare a riscului încălcării confidențialității datelor cu caracter personal prin atac informatic asupra platformelor de autentificare în conturile de client de pe toate site-urile/aplicațiile de e-commerce gestionate: notificare logare dispozitiv nou, afișarea dispozitivelor logate în cont, politică de complexitate și istoric a parolelor asupra tuturor conturilor de client cu un interval de expirare a acesteia prestabilit;

– Implementarea tehnică și procedurată a unui sistem de monitorizare al traficului de internet de intrare și de ieșire (inbound/outbound) executat asupra platformelor de autentificare în conturile de client de pe toate site-urile/aplicațiile de e-commerce gestionate”.