文章总结： 法国电信公司Free和FreeMobile因数据泄露被CNIL处以4200万欧元罚款。事件导致超2400万用户IBAN等数据泄露，源于攻击者通过VPN接入管理工具。监管指出企业存在安全防护不足、通知延迟及违规留存数据等GDPR违规行为，强调了实施基本安全措施的必要性。 综合评分： 75 文章分类： 数据泄露,安全大事件,政策法规

法国电信企业因2400万用户数据泄露 被罚4890万美元

安全学习那些事儿

2026年1月18日 08:54 上海

2026年1月14日，法国数据保护监管机构CNIL对两家法国电信公司处以总计4200万欧元(4890万美元)的罚款，原因是这两家公司违反了GDPR，导致数据泄露。

Free和Free Mobile是两家独立的公司，分别负责固话和移动通信服务，均隶属于Iliad集团。此次罚款与2024年10月发生的一起数据泄露事件有关，该事件导致超过2400万人的数据遭到泄露，其中包括IBAN等财务信息。

法国国家信息与自由委员会(CNIL)在其判决中指出，此次攻击始于2024年9月28日，涉事公司于10月21日通过攻击者发送的信息获悉了入侵事件。Free公司于次日将攻击者从其系统中驱逐出去。

攻击者通过Free公司的VPN接入了Free的网络，然后连接到Free Mobile的用户管理工具MOBO。尽管攻击者当时仅获得了Free Mobile应用程序的访问权限，但MOBO允许用户搜索Free和Free Mobile客户的数据，包括他们的IBAN(银行账户号码)，前提是这些客户是服务订阅用户。

对此次攻击的分析显示，攻击者于2024年10月6日开始窃取客户记录，其中包括与总共24633469份固定和移动合同相关的记录。其中，19460891份为免费移动合同，5172577份为免费合同。

袭击发生时，Free Mobile拥有约1550万用户，而Free拥有约760万用户。根据Iliad在2024年公布的100亿欧元营业额和3.67亿欧元利润，这两家公司分别被处以2700万欧元(3140万美元)和1500万欧元(1740万美元)的罚款。

监管机构表示，这些公司在三个方面违反了GDPR：未能妥善保护个人数据、未能充分向受影响者通报数据泄露事件以及未能遵守数据保留法律。

法国国家信息与自由委员会 (CNIL) 在宣布罚款时表示：“受限小组发现，在数据泄露当天，这些公司没有实施某些基本的安全措施，而这些措施本可以使攻击更加困难。

相关阅读

海量业主信息“裸奔” 山东莱阳一物业公司被警方查处

国家安全部披露 违规使用开源AI工具致敏感资料泄露案例

欧洲铁路通票销售公司Eurail B.V.遭黑客攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《法国电信企业因2400万用户数据泄露 被罚4890万美元》