Инцидент произошел еще в 2016 году. В конце 2017 года стало известно, что хакеры украли данные 57 миллионов человек, которые воспользовались услугами Uber по всему миру, а также данные о более чем 600 000 водителях. Вместо того чтобы уведомлять пострадавших, в компании предпочли скрывать нарушение более года и заплатили хакеру, чтобы он держал это в секрете, сообщает zdnet.com
Факт о массовой краже персональных данных был предан огласке только в 2017 году. Uber в сентябре 2018 года согласился выплатить 148 млн долларов в рамках урегулирования в США в связи с инцидентом, а несколько месяцев спустя был оштрафован на сумму более 900 000 фунтов стерлингов британскими и голландскими надзорными органами в связи с нарушением законодательство о персональных данных в 2016 году.
В октябре 2019 года двое мужчин признали себя виновными во взломе, а в августе 2020 года власти США обвинили бывшего начальника службы безопасности Uber в сокрытии информации.
23 июля 2021 года уполномоченный по информации Австралии и комиссар по вопросам конфиденциальности (OAIC) Анджелина Фальк заявили, что американская Uber Technologies Inc и голландская Uber B. V. не смогли надлежащим образом защитить персональные данные примерно 1,2 млн австралийских клиентов и водителей, когда злоумышленники получили доступ к их личным данным в 2016 году.
Специалистов OAIC интересовало, была ли у компании Uber возможность предотвратить утечку данных австралийцев.
Фальк обнаружил, что компании Uber нарушили Закон о конфиденциальности 1988 года, не предприняв разумных шагов для защиты личной информации своих клиентов от несанкционированного доступа и для уничтожения или деперсонализации данных по мере необходимости.
Uber также не предпринял разумных шагов по внедрению методов и систем для обеспечения соответствия Австралийским принципам конфиденциальности.
Поэтому австралийские власти потребовали от бигтеха подготовить в течение трех месяцев «дорожную карту» по обеспечению политики хранения и уничтожения персональных данных. Кроме того, компания должна создать программу информационной безопасности и назначить ответственное лицо, которое будет курировать данное направление. Программа должна выявлять риски, связанные с безопасностью и хранением личной информации австралийских пользователей.
Комиссар по вопросам конфиденциальности также хочет, чтобы компания разработала план реагирования на киберинциденты.
Массовая утечка конфиденциальной информации выявила ряд проблем, связанных с применением Закона о конфиденциальности к зарубежным компаниям, которые передают обработку личной информации австралийцев на аутсорсинг другим компаниям в рамках своей корпоративной группы. В данном случае личная информация австралийцев была напрямую передана на серверы в Соединенных Штатах в соответствии с соглашением об аутсорсинге, и американская компания утверждала, что на нее не распространяется действие австралийского законодательства.
Фото — pexels.com