W wyniku tego naruszenia infrastruktury IT ujawnione zostały dane osobowe 2,7 mln klientów Ubera z Wielkiej Brytanii. Tamtejszy organ nadzorczy ICO (ang. Information Commissioner’s Office) – odpowiednik polskiego GIODO – poinformował na swojej stronie internetowej o nałożeniu na Ubera niemal 0,5 mln dol. grzywny. Amerykańska firma może jednak odetchnąć z ulgą. Gdyby naruszenie nastąpiło bowiem po 25 maja br., a więc po wejściu w życie regulacji o ochronie danych osobowych RODO, kara mogłaby sięgnąć blisko 100 mln dol. Wcześniej podobną karę na Ubera w wysokości 600 tys. euro nałożył holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens).

""

fot, mat. pras.

moto.rp.pl

Wspomnianego ataku dokonano za pomocą metody nazywanej credential stuffing. Polega ona na kradzieży loginów i haseł ze słabo zabezpieczonych serwerów lub kupowaniu ich na czarnym rynku. Zdobyte w ten sposób poświadczenia wykorzystywane są przy zautomatyzowanym, masowym logowaniu do atakowanej usługi. W efekcie przestępcy wykradli dane osobowe blisko 3 mln klientów oraz informacje dotyczące prawie 82 tys. zarejestrowanych kierowców. Przestępcom udało się uzyskać nieautoryzowany dostęp do imion i nazwisk, adresów e-mail, numerów telefonów, danych nt. przebytej trasy oraz informacji o płatnościach. ICO zwróciło uwagę nie tyle na sam problem kradzieży danych osobowych, co na naganne postępowanie Ubera po ataku. Firma nie poinformowała klientów o naruszeniu i w tajemnicy zapłaciła napastnikom okup za zniszczenie wykradzionych danych. Informacja o włamaniu została upubliczniona dopiero rok po incydencie. A to naraziło osoby korzystające z Ubera na kolejne ataki z wykorzystaniem wykradzionych poświadczeń.

CZYTAJ TAKŻE: Uber w całej Polsce za gotówkę

Steve Eckersley, dyrektor ds. dochodzeń w ICO, podkreśla, że Uber całkowicie zlekceważył bezpieczeństwo swoich klientów i kierowców, których dane trafiły w ręce cyberprzestępców. – Nie podjęto żadnych kroków w celu poinformowania poszkodowanych o zagrożeniu oraz nikomu nie udzielono wsparcia. Uber pozostawił swoich klientów bezbronnych – tłumaczy. Zgodnie z obowiązującym od 25 maja 2018 r. w UE tzw. Rozporządzeniem o Ochronie Danych Osobowych (RODO), grzywna w takich wypadkach może wynieść 4 proc. rocznego obrotu przedsiębiorstwa. Kara w wysokości 492 tys. dol. to maksymalny wymiar kary według rozporządzenia z 1996 r.

CZYTAJ TAKŻE: Lyft i Uber wjadą na parkiet

Uber nie jest jedynym, który pada ofiarą hakerów. Podobna sytuacja i podobna kara trafiła Facebooka (skandal związany z Cambridge Analytica), czy na amerykańskiego potentata kredytowego, firmę Equifax (ofiara największego naruszenia w historii, które doprowadziło do wycieku numerów ubezpieczeń społecznych niemal połowy Amerykanów). Podobnych wypadków można mnożyć. Eksperci przekonują, że kluczowa jest w takiej sytuacji właściwa reakcja. Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken, tłumaczy, iż wszyscy zainteresowani powinni zostać natychmiast poinformowani o naruszeniu. Konieczna jest też zmiana haseł i loginów we wszystkich usługach, do których z ich pomocą się logują. – Może to zapobiec kradzieży danych z innych serwerów klientów. Brak reakcji firm z pewnością negatywnie wpłynie na opinie użytkowników – komentuje Woźniak.