Uber, producent popularnej aplikacji służącej do wynajmowania prywatnych kierowców, został oskarżony o wyciek danych swoich klientów. Szczegóły zostały opisane w starszym artykule na AVLab. Urząd ochrony danych osobowych w Wielkiej Brytanii, odpowiednik naszego UODO, powołując się na regulacje krajowe, nakazał zapłacić 385 000 GBP. Z kolei jego odpowiednik w Holandii nałożył na firmę Uber karę 600 000 EUR. Do wycieku doszło w 2016 roku, przed wprowadzeniem regulacji GDRP/RODO, dlatego unijne przepisy o ochronie danych osobowych nie mają zastosowania.
Przypomnijmy, że w 2016 roku byliśmy świadkami wycieku informacji 600 tysięcy kierowców i 57 milionów użytkowników aplikacji Uber. Przestępcy obiecywali skasowanie danych i wyciszenie sprawy za 100 000 dolarów, które otrzymali. I nie dotrzymali słowa — możliwe, że rozpowszechnione dane nie dotyczą tylko obywateli Wielkiej Brytanii i Holandii. Jeśli na liście poszkodowanych znajdują się obywatele innych narodowości, to niewykluczone, że postępowania będą toczyć się dalej. Wtedy poszczególne państwa mogą nałożyć na Ubera kolejne kary finansowe.
Użytkownicy nie mają wpływu na bezpieczeństwo serwerów aplikacji. Należy pamiętać, że nie trzeba podawać wszystkich danych, o które usługa prosi. Zwykle dane te są wykorzystywane w zakresie obsługi aplikacji, ale często też firmy żądają od klientów zbyt dużej ilości informacji, które nie są do niczego potrzebne. Nie chcę kolejny raz przypominać, że trzeba używać mocnych haseł, osobnych dla każdego konta i często je zmieniać. Przed wykorzystaniem zdobytego w wyniku wycieku hasła chroni weryfikacja dwuetapowa, a najlepiej radzi sobie z tym klucz bezpieczeństwa, np. Yubikey. Niestety na kradzież bazy danych niewiele to pomoże, jeżeli producent aplikacji nie będzie przechowywał w bazie danych haseł i innych poświadczeń w sposób zaszyfrowany.
Dane dla atakującego nie muszą być dostępne tylko w przypadku złamania zabezpieczeń bazy danych. Winę może ponosić użytkownik. Wystarczy keylogger i przestępca otrzyma login i hasło. Nie trzeba też stosować szkodliwego oprogramowania, ponieważ łatwo jest wykonać profesjonalną stronę udającą oryginalnego Facebooka. Czasami najprostszym sposobem jest zwykły e-mail z prośbą o podanie danych. Różnica pomiędzy wyciekiem danych z serwerów aplikacji, a poświadczeń z urządzeń użytkownika, polega na tym, że przed tym drugim możemy zapanować i jakoś się chronić. Korzystajmy więc z renomowanych antywirusów i przestrzegajmy porad opisanych w naszym uniwersalnym poradniku.
