De Franse aanbieder van prepaidkaarten NS Cards heeft van de Franse privacytoezichthouder CNIL een boete van 105.000 euro gekregen wegens het overtreden van de AVG, mede omdat wachtwoorden van gebruikers plaintext werden opgeslagen en er onvoldoende eisen aan de complexiteit van wachtwoorden werden gesteld. NS Cards biedt via de website Neosurf.com prepaidkaarten aan die als een soort creditcard op duizenden websites zijn te gebruiken. De website richt zich onder andere op Nederlandse gebruikers.

Het Franse CNIL ontdekte allerlei misstanden bij het bedrijf. Zo werden gebruikersaccounts na tien jaar uitgeschakeld, maar niet verwijderd. Accountgegevens werden dan ook oneindig lang bewaard. Verder was het privacybeleid dat gebruikers te zien kregen onvolledig en verouderd. De 'complexiteitsregels' die NS Cards voor wachtwoorden van gebruikers verplichtte waren onvoldoende robuust, aldus CNIL.

In de database trof de privacytoezichthouder 50.000 wachtwoorden in plaintext aan, gekoppeld aan e-mailadres en gebruikers-ID. Voor de wachtwoorden die wel gehasht werden opgeslagen, werd het verouderde SHA-1-algoritme gebruikt. Door deze tekortkomingen werden accounts blootgesteld aan aanvallen en datalekken en werd de AVG-verplichting om persoonlijke data te beschermen overtreden, zo stelt de toezichthouder.

Als laatste plaatste NS Cards zonder toestemming van gebruikers Google Analytics-cookies en werden gegevens van gebruikers zonder dat die dit wisten of hiervoor toestemming hadden gegeven via de captcha-oplossing reCAPTCHA naar Google gestuurd. Het zou mogelijk om data van 700.000 mensen gaan. Op basis van de aard van de overtredingen, de nalatigheid van het bedrijf, de soorten persoonlijke data, het aantal getroffen mensen en de financiële situatie van het bedrijf kwam CNIL uiteindelijk uit op een boete van 105.000 euro.