Два года назад в результате нарушения ИТ-инфраструктуры Uber произошла утечка 2,7 миллиона личных данных из Великобритании. Британский надзорный орган ICO (Управление комиссара по информации), эквивалентный польскому GIODO, недавно объявил на своем веб-сайте о наложении штрафа в размере 492 млн. Долларов США.
Uber оштрафован на 492 000 USD. Если бы нарушение произошло после 25 мая этого года, штраф был бы близок к 100 миллионам долларов США ! Официальное объявление ICO гласит, что в соответствии с Законом 1996 года наложен штраф за отсутствие надлежащей защиты личных данных клиентов. Если бы нарушение произошло после 25 мая 2018 года, сумма была бы в 203 раза больше. Аналогичный штраф на Uber в размере 600 000 евро был наложен голландским управлением по защите личных данных (Autoriteit Persoonsgegevens).
Атака была осуществлена с использованием метода под названием « заполнение учетными данными ». Сюда входит кража логинов и паролей с плохо защищенных серверов или покупка их на черном рынке. Полученные таким образом учетные данные используются для автоматического массового входа в атакуемую службу. В результате преступники похитили личные данные 2,7 миллионов клиентов и информацию о почти 82 000 зарегистрированные водители. Преступникам удалось получить несанкционированный доступ к именам, адресам электронной почты, номерам телефонов, сведениям о пройденном маршруте и информации об оплате.
В оправдание, ICO обращает внимание не столько на проблему кражи персональных данных, сколько на проступки Uber после атаки . Компания не сообщила клиентам о нарушении и тайно выплатила злоумышленникам выкуп за уничтожение украденных данных. Информация об атаке была обнародована только через год после инцидента , который подверг пользователям Uber дальнейшие атаки с использованием украденных учетных данных. Стив Экерсли , директор по расследованиям в ICO, подытожил это следующим образом:
Убер полностью пренебрег безопасностью своих клиентов и водителей, чьи данные попали в руки преступников. Не было предпринято никаких шагов по информированию жертв об опасности, и никто не был поддержан. Uber оставил своих клиентов беззащитными перед преступниками. По мнению ICO, оплата преступников и сокрытие информации о нападении является предосудительной процедурой. Хотя в соответствии с Законом о защите персональных данных 1996 года не обязательно сообщать об инцидентах такого типа, мы считаем, что поведение Убера подвергло его клиентов серьезной опасности.
В соответствии с Положением о защите личных данных (GDPR), действующим в Европейском Союзе с 25 мая 2018 года, штраф составит 100 миллионов долларов США (4% от годового оборота компании). На Uber наложен штраф в размере 492 тысячи. Доллар США является максимальным предложением согласно постановлению 1996 г. Аналогичный штраф был наложен на Facebook за скандал с Cambridge Analytica и американского кредитного гиганта Equifax, ставшего жертвой крупнейшего в истории нарушения, которое привело к утечке данных по социальному обеспечению почти половиной американцев.
Дариуш Возняк, технический инженер Bitdefender из Маркена , объясняет: «В этой ситуации, когда данные уже просочились, все заинтересованные стороны должны быть немедленно проинформированы о нарушении и необходимости менять пароли и учетные записи во всех службах, к которым они подключаются с ним. Возможно чтобы предотвратить кражу данных с других клиентских серверов. Отсутствие бизнес-ответа определенно повлияет на обратную связь с пользователем »
