Ogromna kara finansowa dla Ubera za wyciek danych z 2016 roku

28 listopada, 2018

Uber, producent popularnej aplikacji służącej do wynajmowania prywatnych kierowców, został oskarżony o wyciek danych swoich klientów. Szczegóły zostały opisane w starszym artykule na AVLab. Urząd ochrony danych osobowych w Wielkiej Brytanii, odpowiednik naszego UODO, powołując się na regulacje krajowe, nakazał zapłacić 385 000 GBP. Z kolei jego odpowiednik w Holandii nałożył na firmę Uber karę 600 000 EUR. Do wycieku doszło w 2016 roku, przed wprowadzeniem regulacji GDRP/RODO, dlatego unijne przepisy o ochronie danych osobowych nie mają zastosowania.

Uber kara finansowa za wyciek danych, RODO

Przypomnijmy, że w 2016 roku byliśmy świadkami wycieku informacji 600 tysięcy kierowców i 57 milionów użytkowników aplikacji Uber. Przestępcy obiecywali skasowanie danych i wyciszenie sprawy za 100 000 dolarów, które otrzymali. I nie dotrzymali słowa — możliwe, że rozpowszechnione dane nie dotyczą tylko obywateli Wielkiej Brytanii i Holandii. Jeśli na liście poszkodowanych znajdują się obywatele innych narodowości, to niewykluczone, że postępowania będą toczyć się dalej. Wtedy poszczególne państwa mogą nałożyć na Ubera kolejne kary finansowe.

Użytkownicy nie mają wpływu na bezpieczeństwo serwerów aplikacji. Należy pamiętać, że nie trzeba podawać wszystkich danych, o które usługa prosi. Zwykle dane te są wykorzystywane w zakresie obsługi aplikacji, ale często też firmy żądają od klientów zbyt dużej ilości informacji, które nie są do niczego potrzebne. Nie chcę kolejny raz przypominać, że trzeba używać mocnych haseł, osobnych dla każdego konta i często je zmieniać. Przed wykorzystaniem zdobytego w wyniku wycieku hasła chroni weryfikacja dwuetapowa, a najlepiej radzi sobie z tym klucz bezpieczeństwa, np. Yubikey. Niestety na kradzież bazy danych niewiele to pomoże, jeżeli producent aplikacji nie będzie przechowywał w bazie danych haseł i innych poświadczeń w sposób zaszyfrowany.

Dane dla atakującego nie muszą być dostępne tylko w przypadku złamania zabezpieczeń bazy danych. Winę może ponosić użytkownik. Wystarczy keylogger i przestępca otrzyma login i hasło. Nie trzeba też stosować szkodliwego oprogramowania, ponieważ łatwo jest wykonać profesjonalną stronę udającą oryginalnego Facebooka. Czasami najprostszym sposobem jest zwykły e-mail z prośbą o podanie danych. Różnica pomiędzy wyciekiem danych z serwerów aplikacji, a poświadczeń z urządzeń użytkownika, polega na tym, że przed tym drugim możemy zapanować i jakoś się chronić. Korzystajmy więc z renomowanych antywirusów i przestrzegajmy porad opisanych w naszym uniwersalnym poradniku.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]