Uber a plătit aproape 1,2 milioane de dolari autorităților EU pentru încălcarea GDPR cu ocazia unei breșe de securitate din 2016
4 minute • Dan Daneasa • 29 noiembrie 2018
Autoritățile britanice și olandeze de protecție a datelor au amendat Uber cu 1,170,892 dolari pentru modul în care compania a gestionat o breșă de securitate întâmplată în 2016, eveniment care a expus datele personale a 57 de milioane de utilizatori.
În noiembrie 2017, CEO-ul Uber Dara Khosrowshahi a anunțat că hackerii au intrat în baza de date a companiei și au accesat datele personale (nume, adrese de e-mail și numere de telefon) a 57 de milioane de utilizatori. Faptul îngrijorător este că societatea a ascuns incidentul pentru mai mult de un an. Atacatorii au accesat cu acea ocazie identitățile a aproximativ 600.000 de șoferi din Statele Unite, având acces la datele din permisele de conducere ale acestora.
Breșa s-a întâmplat în 2016, conform unui raport publicat de Bloomberg. Hackerii au obținut acreditările folosite pentru logarea la un site privat de GitHub, folosit de echipa de dezvoltare a companiei. Hackerii au încercat să șantajeze Uber și au cerut companiei o răscumpărare de 100 000 de dolari, în schimbul evitării publicării datelor furate.
În loc să notifice încălcarea datelor pentru clienți și aplicarea legii, așa cum este cerut de legea privind încălcarea securității datelor din California, șeful securității informatice, Joe Sullivan, a ordonat să plătească răscumpărarea și să acopere povestea distrugând orice dovadă. Plata către hackeri a fost deghizată ca un premiu de recompensă pentru remedierea unor ‘bug-uri’ și a fost însoțită de semnarea unor acorduri de confidențialitate.
Acum, biroul britanic al Comisarului pentru Informații (ICO) a amendat Uber cu 385.000 de lire sterline (491.102 de dolari) pentru că nu a protejat informațiile personale a 3 milioane de britanici cu ocazia unui alt atac.
O serie de defecte de securitate a datelor care puteau fi evitate au permis accesarea și descărcarea de către atacatori a detaliilor personale a aproximativ 2.7 milioane de clienți britanici dintr-un sistem de stocare bazat cloud, sistem operat de compania Uber. Aceste date includeau nume, adrese de e-mail și numere de telefon “, afirmă ICO.
“Datele a aproape 82.000 de șoferi din Marea Britanie – inclusiv detalii despre călătoriile efectuate și sumele plătite – au fost accesate de atacatori, în timpul incidentului din octombrie și noiembrie 2016.”
Directorul de Investigații al ICO, Steve Eckersley a declarat: “Acesta nu a fost doar un eșec serios al managementului securității datelor din partea Uber, ci și un afront fața de clienții și șoferii ale căror informații personale au fost furate. Cu ocazia atacurilor precedente nu s-au luat măsuri pentru a notifica instituțiile statului, pentru a informa persoanele afectate de încălcările de securitate sau pentru a oferi ajutor și asistență. Asta i-a lăsat vulnerabili. “Plătirea atacatorilor nu este, în opinia noastră, un răspuns adecvat la atacurile cibernetice”. “Deși nu exista nicio obligație legală de a raporta încălcări ale datelor în conformitate cu vechea legislație, practicile ineficiente ale Uber vis-a-vis de protecția datelor, precum și deciziile și comportamentul ulterior ar fi putut complica suferința celor afectați”.
Biroul Comisarului pentru Informații britanic a confirmat că niciunul dintre clienții afectați nu a fost notificat despre încălcarea securității. Autoritatea olandeză pentru protecția datelor (DPA) a amendat compania 600 000 euro pentru că nu a protejat informațiile personale ale 174 000 de cetățeni olandezi. “Autoritatea olandeză pentru protecția datelor impune o amendă de 600.000 euro pentru Uber B.V. și Uber Technologies, Inc. pentru încălcarea regulamentului olandez privind încălcarea legislației în materie de date.
Într-o declarație oficială, Uber a anunțat că este “încântat să închidă acest capitol privind incidentul de date din 2016”. Compania a subliniat că a introdus o serie de îmbunătățiri tehnice de la încălcarea datelor.
“Învățăm din greșelile noastre”, a spus compania.
Suntem aici să te ajutăm cu GDPR!
- KIT implementare GDPR pentru DPO – toate documentele de care ai nevoie pentru a fi un DPO
- KIT implementare GDPR – fă-ți singur conformarea
- Consultanță GDPR
- DPO online (DPO as a service)