Brytyjski ICO (Information Commissioner’s Office – odpowiednik polskiego GIODO) poinformował w ostatnich dniach o nałożeniu na Uber grzywny w wysokości 492 000 dolarów. Jest to maksymalna kara jaką przewiduje ustawa z 1996 roku. Gdyby jednak naruszenie wystąpiło po 25 maja tego roku, grzywna mogłaby wynieść 4% rocznego dochodu firmy – ponad 100 000 000 dolarów. Dodatkowe 600 000 € nałożył na Ubera holenderski Autoriteit Persoonsgegevens.
Dzięki atakowi credential stuffing przestępcom udało się zdobyć dane 2,7 miliona klientów oraz prawie 82 000 zarejestrowanych kierowców. Wśród nich znajdowały się: imiona, nazwiska, adresy email, numery telefonów, dane nt. pokonywanych tras oraz informacje o płatnościach. Firma postanowiła zapłacić hakerom okup w zamian za zniszczenie wykradzionych danych, a o całej sytuacji poinformowała rok po incydencie.
Nie samo naruszenie, a właśnie reakcja firmy była powodem nałożenia grzywny. „Uber całkowicie zlekceważył bezpieczeństwo swoich klientów i kierowców, których dane trafiły w ręce przestępców. Nie podjęto żadnych kroków w celu poinformowania poszkodowanych o zagrożeniu oraz nikomu nie udzielono wsparcia. Uber pozostawił swoich klientów bezbronnymi wobec przestępców” – powiedział Steve Eckersley, Dyrektor ds. Dochodzeń w ICO – „Płacenie przestępcom i zatajanie informacji nt. ataku jest według stanowiska ICO postępowaniem nagannym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych z 1996 roku nie ma obowiązku zgłaszania tego typu incydentów, to jednak uważamy, że postepowanie Ubera narażało jego klientów na poważne niebezpieczeństwo” .
Zobacz również: Jak sprawdzić czy Twoje dane wyciekły w sieci?
Podobne kary nałożone zostały na Facebooka (w związku z aferą Cambridge Analytica) oraz Equifax – firmę, która odpowiada za wyciek numerów ubezpieczoniowych niemal połowy Amerykanów.
„W takiej sytuacji, gdy dane już wyciekły, wszyscy zainteresowani powinni zostać natychmiast poinformowani o naruszeniu i konieczności zmiany haseł i loginów we wszystkich usługach, do których z ich pomocą się logują. Może to zapobiec kradzieży danych z innych serwerów klientów. Brak reakcji firm z pewnością negatywnie wpłynie na opinie użytkowników” – komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Pamiętajcie, że używając jednego hasła do wszystkich serwisów ryzykujecie bezpieczeństwo wszystkich kont będąc ofiarami chociażby jednego wycieku danych. Dlatego też lepiej jest mieć przynajmniej kilka naprzemiennie używanych haseł. A jeżeli macie problem z ich zapamiętaniem, polecamy skorzystać z menadżera haseł, takiego jak na przykład LastPass.
Źródło: Bitdefender