SSL信息英国和荷兰的数据保护监管机构周二对Uber的罚款总额约合110万美元,因未能在2016年涉及数百万用户的网络攻击中保护其客户的个人信息。
去年年底,优步公布了该公司在2016年10月遭遇大规模数据泄露事件,揭露了5700万优步车手和司机的姓名,电子邮件地址和电话号码以及约60万名驾驶员的驾驶执照。
除此之外,据报道,该公司没有披露当时的违规行为,而是向两名黑客支付了10万美元的赎金,以获取被盗数据,以换取事件保密和删除信息。“优步美国没有按照其恶意赏金计划的正常运作。在这次事件中,优步美国支付了外部攻击者,这些攻击者与合法的漏洞赏金收件人根本不同:他们不是仅仅识别漏洞并以负责任的方式披露漏洞,而是恶意利用漏洞和 故意获取与优步用户有关的个人信息,“ICO表示。
今天,英国信息专员办公室(ICO)对Uber进行了385,000英镑(491,102美元)的罚款,而荷兰数据保护局(荷兰DPA)则对Uber因未能保护其300万荷兰公民和174,000人的个人信息而被罚款60万欧元(679,790美元)。“在2016年,Uber关注的一个数据泄露事件是未经授权访问客户和司机的个人数据。优步的担忧被罚款,因为它没有在72小时内向荷兰DPA和数据主体报告数据泄露事件 发现违规行为,“荷兰DPA说。
ICO还证实,攻击者能够使用填充攻击来破坏优步的基于云的存储系统 - “将一个受损的用户名和密码对注入网站直到它们与现有帐户匹配的过程” .英国监管机构还表示,受此事件影响的客户均未收到有关违规行为的通知。 相反,Uber在网络攻击事件发生12个月后开始监控受影响的车友和司机账户。当时,优步通知监管机构,并向受影响的司机提供免费信用监控和身份盗窃保护。该公司向其用户保证,在攻击中未访问其他个人详细信息,例如旅行地点历史记录,信用卡号,银行帐号,社会安全号或出生日期。由于数据泄露发生在欧盟通用数据保护条例(GDPR)于2018年5月生效之前,根据英国1998年旧数据保护法案规定的385,000英镑的罚款仍然较少。
如果欧盟的通用数据保护条例(GDPR)下降,其罚款可能会大得多,其中一家公司可能面临最高1700万英镑的罚款或其年度全球收入的4%,以较高者为准。
上个月,英国数据保护监管机构还在Facebook上处以50万英镑的罚款,允许政治咨询公司Cambridge Analytica不当地收集和滥用8700万用户的数据。
9月,ICO还向信用报告机构Equifax发出了最高50万英镑的罚款,用于其去年发生的大规模数据泄露事件,该数据泄露了数亿客户的个人和财务数据。
本信息来源:thehackernews.com