Na stronie Urzędu Rzecznika ds. Informacji (ICO – brytyjski organ nadzorczy ds. ochrony danych osobowych) ukazała się informacja o nałożeniu kary na spółkę Uber za niezapewnienie bezpieczeństwa danych osobowych. Co ciekawe, Uber zdecydował się na zapłacenie hackerom, którzy wykradli dane oraz nieinformowanie osób o tym co się stało. Treść informacji w języku angielskim, której tłumaczenie znajduje się poniżej, jest dostępna tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/.
Urząd Komisarza ds. Prywatności (ICO) nałożył karę w wysokości 385 000 funtów na spółkę Uber, oferującą współużytkowanie samochodów za niezapewnienie ochrony informacji osobistych klientów podczas cyber-ataku.
Seria możliwych do uniknięcia błędów dotyczących bezpieczeństwa danych pozwoliła na dostęp oraz pobranie informacji osobistych około 2,7 mln brytyjskich użytkowników przez hackerów z systemu przechowywania danych opartego o chmurę obliczeniową, którą zarządzała spółka matka Uber ze Stanów Zjednoczonych. Dotyczyło to nazwisk, adresów poczty elektronicznej oraz numerów telefonów.
W trakcie mającego miejsce w październiku oraz listopadzie 2016 roku, incydentu pobrano także rekordy dotyczące prawie 82 000 kierowców działających w Wielkiej Brytanii, które obejmowały szczegóły trasy oraz informacje o tym ile im zapłacono.
Postępowanie ICO wykryło, że do uzyskania danych przechowywanych przez Uber wykorzystano tzw. „credential stuffing” (rodzaj cyber ataku); proces polegający na wprowadzaniu na stronie internetowej przejętych par nazw użytkownika oraz haseł tak długo, aż uda się je dopasować do istniejących kont.
Jednakże ani klienci ani kierowcy nie zostali poinformowani o incydencie przez ponad rok. Zamiast tego, Uber zapłacił hackerom odpowiedzialnym za atak 100 000 dolarów za zniszczenie pobranych przez nich danych.
Dyrektor ds. Postępowań ICO, Pan Steve Eckersley powiedział:
„Nie tylko doszło do poważnego błędu dotyczącego bezpieczeństwa danych po stronie Uber, ale również do kompletnego zlekceważenia klientów oraz kierowców, których informacje osobiste zostały skradzione. W tamtym czasie nie podjęto żadnych kroków w celu poinformowania kogokolwiek, kogo dotyczyło naruszenie ani nie zaproponowano pomocy ani wsparcia. Przez to osoby były podatne.”
Incydent stanowiący poważne naruszenie siódmej zasady ustawy o ochronie danych z 1998 roku powodował potencjalne narażenie klientów oraz kierowców na zwiększone ryzyko oszustwa. Wyszło to na jaw, kiedy sama spółka wydała oświadczenie, o którym poinformowały media w listopadzie 2017 r.
Pan Steve Eckersley dodał:
„Zapłacenie hackerom a następnie nie podanie informacji o zdarzeniu nie było naszym zdaniem odpowiednią odpowiedzią na cyber atak”.
„Chociaż na mocy starej ustawy nie było obowiązku zgłoszenia naruszenia ochrony danych, to wadliwe działania w obszarze ochrony danych Uber oraz następujące po tym decyzje oraz zachowanie prawdopodobnie przyczyniły się do spowodowania stresu osób dotkniętych incydentem.”
Holenderski organ ochrony danych, Autoriteit Persoonsgegevens, również nałożył dzisiaj karę na Uber na mocy prawa obowiązującego przed wejściem w życie RODO. Organ holenderski był organem wiodącym w ramach międzynarodowego zespołu, który obejmował ICO i który współpracował w postępowaniu dotyczącym skutków incydentów, przy czym każdy organ działał w ramach własnej jurysdykcji.