Κακές πρακτικές αντιμετώπισης περιστατικού παραβίασης προσωπικών δεδομένων (data breach)
Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.
Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber.
Τα αρχεία περιλαμβάναν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.
Τα αρχεία των περίπου 82.000 οδηγών που εδρεύουν στο Ηνωμένο Βασίλειο, τα οποία περιελάμβαναν λεπτομέρειες για τις διαδρομές που πραγματοποίησαν και το ύψος των πληρωμών τους, εκλάπησαν επίσης κατά το περιστατικό του Οκτωβρίου – Νοεμβρίου του 2016.
Μεταξύ άλλων, η βρετανική αρχή σημείωσε ότι οι πελάτες και οι οδηγοί που επηρεάστηκαν από την παραβίαση δεδομένων δεν ενημερώθηκαν για το περιστατικό για διάστημα μεγαλύτερου του ενός έτους.
Αντ’ αυτού, ο Uber πλήρωσε τους εισβολείς που ήταν υπεύθυνοι για την επίθεση 100.000 δολάρια για να καταστρέψουν τα δεδομένα που είχαν κατεβάσει.
Το περιστατικό αποτελεί μια σοβαρή παραβίαση της νομοθεσία περί προστασίας δεδομένων, η οποία μπορούσε να εκθέσει τους πελάτες και τους οδηγούς σε αυξημένο κίνδυνο απάτης.
«Η πληρωμή των επιτιθέμενων και η αποσιώπηση του περιστατικού δεν ήταν, κατά την άποψή μας, η κατάλληλη απάντηση στην κυβερνοεπίθεση. Αν και δεν υπήρχε υποχρέωση να αναφερθούν παραβιάσεις δεδομένων βάσει της παλαιάς νομοθεσίας (προ GDPR), οι κακές πρακτικές προστασίας δεδομένων της Uber και οι επακόλουθες αποφάσεις ήταν πιθανό να έχουν επιδεινώσει τη θέση των εμπλκόμενων προσώπων», σημείωσε ο Διευθυντής Ερευνών του ICO, Steve Eckersley.
Να σημειωθεί ότι και η αρχή προστασίας δεδομένων της Ολλανδίας επέβαλε επίσης πρόστιμο σήμερα στην Uber. Η ολλανδική ρυθμιστική αρχή ήταν επικεφαλής μιας διεθνούς ομάδας αρχών προστασίας δεδομένων, η οποία ήταν υπεύθυνη για τη διερεύνηση των επιπτώσεων της κυβερνοεπίθεσης στην Uber στην εκάστοτε δικαιοδοσία.