Le directeur de la Bourse du travail de Lituanie fait face à une amende après que son entité a laissé fuir des données personnelles directement sur le site de l’institution.
Une amende pour condamner une fuite de données personnelles, voilà ce qui vient de toucher Ligita Valyte, le responsable de la Bourse du travail de Lituanie. Cette entité est une agence exécutive relevant du Ministère de la sécurité sociale et du travail, chargée de fournir des services aux demandeurs d’emploi et aux employeurs sur le marché du travail. Bref, c’est le Pole Emploi lituanien. La CNIL locale, State Data Protection Inspectorate (VDAI), a condamné à 300€ le dirigeant après que le site web de la bourse au travail a laissé fuiter des données sensibles des personnes inscrites. Des milliers de codes personnels, y compris celui du ministre lituanien des affaires sociales, étaient consultables. Une fuite dès plus gênante car le code personnel attribué à chaque lituanien est unique et immuable selon les lois lituaniennes. Comme l’explique l’Inspection nationale de la protection des données, dans le cas où la violation de la protection des données à caractère personnel a été commise par une personne morale, le chef de l’entité ou une autre personne responsable est passible d’une amende de 300 à 1 150 euros, tandis que la violation répétée impose une amende de 1 100 à 3 000 euros. Les médias locaux ont rapporté qu’il y avait des milliers de codes personnels librement accessibles sur le site Web de la Bourse du travail. En France, la première amende imposée par la CNIL a touché la société Hertz France à la suite d’une fuite de données concernant certains de ses clients Français.
Pendant ce temps, trois pirates lituaniens se sont faits arrêter pour avoir volé des données sensibles d’une clinique de chirurgie plastique. Selon le bureau de la police criminelle lituanien, les suspects ont volé la base de données des clients et ont exigé une rançon de la clinique, et des clients. En mai 2017, pur menacer l’entreprise médicale, les pirates ont rendu public plus de 25 000 photos privées, y compris des photos de corps nu, les prénoms, les noms de famille, les photos avant et après une intervention chirurgicale, et plusieurs autres informations personnelles des patients des cliniques lituaniennes de chirurgie plastique du groupe « Grozio Chirurgija« .
Les voyous réclamaient entre 50 et 2000€ par patients impactés par le piratage, et selon les informations collectées. Avant de répartir la rançon, patient par patient, les pirates informatiques avaient tenté d’offrir la totalité de la base de données à la vente pour 300 bitcoins mais la clinique avait refusé de payer. Quelques centaines de personnes ont donné de l’argent pour que leurs données ne soient pas diffusées par les pirates informatiques. De nombreux patients étrangers, dont des Français et des Britanniques ont été concernés par cette escroquerie numérique.