Za únik dat z roku 2016 zaplatí Uber pokutu 1,1 milionu dolarů

6. 12. 2018 v sekci Článek

Britský i nizozemský úřad pro ochranu údajů udělily Uberu pokutu, která se dohromady vyšplhala na 1 170 892 dolarů. Uber byl pokutován za to, že nedostatečně chránil osobní údaje uživatelů i řidičů.

Na podzim roku 2016 došlo v Uberu k masivnímu úniku dat, neznámí útočníci získali údaje z více než 57 milionů účtů patřících jak řidičům, tak uživatelům. V uniklé databázi byla jména, e-mailové adresy i telefonní čísla, byla zcizena také čísla řidičských průkazů více než 600 000 řidičů.

Kauza vzbudila velkou pozornost také proto, že se Uber pokusil celou věc ututlat a útočníkům, kteří měli k ukradeným datům přístup, vyplatil 100 000 dolarů za to, že o incidentu pomlčí a zcizená data vymažou.

Mezi uniklými údaji byla také data týkající se 3 milionů občanů Velké Británie a 174 000 údajů patřilo občanům Nizozemska. Údaje občanů těchto zemí tak byly ohroženy. Z toho důvodu britský Information Commissioner’s Office (ICO) dal Uberu pokutu ve výši 385 000 liber (491 102 dolarů), nizozemský úřad Dutch Data Protection Authority (Dutch DPA) udělil společnosti pokutu ve výši 600 000 eur (679 790 dolarů).

„V roce 2016 došlo v Uberu k ohrožení dat ve formě neoprávněného přístupu k osobním údajům zákazníků a řidičů. Uber je pokutován, jelikož společnost neoznámila únik údajů nizozemskému DPA, ani subjektům údajů do 72 hodin po zjištění, že došlo k incidentu,“ uvedl nizozemský DPA. ICO navíc potvrdil, že útočníci byli schopni kompromitovat cloudové úložiště Uberu pomocí tzv. „credential stuffingu“, což je metoda útoku, při které jsou pro přihlášení vkládány kombinace kompromitovaných loginů a hesel z jiných stránek nebo systémů (obvykle pomocí nástroje, který celý proces zautomatizuje), dokud se neshodují s existujícími účty.

Podle ICO nebyl žádný z dotčených uživatelů o incidentu informován. Místo toho Uber začal monitorovat postižené zákazníky i řidiče kvůli možnému podvodu až 12 měsíců po kybernetickém útoku, tedy minulý rok, když se dostaly informace o incidentu na veřejnost. V té době Uber oznámil celou záležitost regulačním orgánům a nabídl postiženým řidičům bezplatné sledování účtů a ochranu proti krádeži identity. Společnost také ujišťovala uživatele, že v úniku nefigurovaly žádné jiné osobní údaje, jako je historie jízd, čísla kreditních karet, čísla bankovních účtů, čísla sociálního pojištění nebo data narození.

Vzhledem k tomu, že došlo k úniku údajů před tím, než v květnu 2018 nabylo účinnosti GDPR, byl incident posuzován podle starého zákona o ochraně osobních údajů Velké Británie z roku 1998.

Zdroj: thehackernews.com






Tento web používá cookies. Více informací ROZUMÍM