GDPR: Πρόστιμο άνω του 1 εκατ. ευρώ για την Uber
Κακές πρακτικές αντιμετώπισης περιστατικού παραβίασης προσωπικών δεδομένων (data breach)
Το Πρόστιμο
Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.
Το ιστορικό
Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber.
Τα αρχεία περιλαμβάναν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.
Παράλληλα, και η αρχή προστασίας δεδομένων της Ολλανδίας επέβαλε πρόστιμο ύψους 600.000 ευρώ στην Uber για το ίδιο περιστατικό.
Η ολλανδική ρυθμιστική αρχή ήταν επικεφαλής μιας διεθνούς ομάδας αρχών προστασίας δεδομένων, η οποία ήταν υπεύθυνη για τη διερεύνηση των επιπτώσεων της κυβερνοεπίθεσης στην Uber στην εκάστοτε δικαιοδοσία.
Τα αρχεία των περίπου 82.000 οδηγών που εδρεύουν στο Ηνωμένο Βασίλειο, τα οποία περιελάμβαναν λεπτομέρειες για τις διαδρομές που πραγματοποίησαν και το ύψος των πληρωμών τους, εκλάπησαν επίσης κατά το περιστατικό του Οκτωβρίου – Νοεμβρίου του 2016.
Μεταξύ άλλων, η βρετανική αρχή σημείωσε ότι οι πελάτες και οι οδηγοί που επηρεάστηκαν από την παραβίαση δεδομένων δεν ενημερώθηκαν για το περιστατικό για διάστημα μεγαλύτερου του ενός έτους.
Αντ’ αυτού, ο Uber πλήρωσε τους εισβολείς που ήταν υπεύθυνοι για την επίθεση 100.000 δολάρια για να καταστρέψουν τα δεδομένα που είχαν κατεβάσει.
Το περιστατικό αποτελεί μια σοβαρή παραβίαση της νομοθεσία περί προστασίας δεδομένων, η οποία μπορούσε να εκθέσει τους πελάτες και τους οδηγούς σε αυξημένο κίνδυνο απάτης.
«Η πληρωμή των επιτιθέμενων και η αποσιώπηση του περιστατικού δεν ήταν, κατά την άποψή μας, η κατάλληλη απάντηση στην κυβερνοεπίθεση. Αν και δεν υπήρχε υποχρέωση να αναφερθούν παραβιάσεις δεδομένων βάσει της παλαιάς νομοθεσίας (προ GDPR), οι κακές πρακτικές προστασίας δεδομένων της Uber και οι επακόλουθες αποφάσεις ήταν πιθανό να έχουν επιδεινώσει τη θέση των εμπλκόμενων προσώπων», σημείωσε ο Διευθυντής Ερευνών του ICO, Steve Eckersley.
(Με πληροφορίες από το Lawspot)