La factura legal por la violación de datos de Uber en 2016, que afectó a unos 57 millones de clientes, revelando nombres, direcciones de correo electrónico y números de teléfono, aumentó en más de un millón de dólares.
Hace dos meses, el gigante de los viajes compartidos acordó pagar $ 148 millones para resolver las consultas legales relacionadas con la infracción en los EE. UU., Y ese acuerdo cubre los 50 estados y el Distrito de Columbia.
Sin embargo, la violación también involucró a los datos de los usuarios europeos. Y ayer, el organismo de control de protección de datos del Reino Unido, el ICO, Anunciado Multaba a Uber con £ 385,000 (~ $ 490k) bajo el régimen legal interno.
El organismo de control holandés de protección de datos también emitió una multa ayer, imponiendo a Uber una multa de 600.000 euros (~ 670.000 dólares) por violar las leyes locales.
En el frente de la ley de la UE, Uber ha esquivado un poco las balas aquí, ya que el momento de la infracción cae dentro de los regímenes de protección de datos anteriores de ambos países.
En el Reino Unido, la multa máxima fue de solo £ 500k frente a hasta el 4% de la facturación anual global de una empresa según el nuevo Reglamento General de Protección de Datos (GDPR) de la UE.
Una multa proporcionalmente grande según el RGPD probablemente habría sido considerablemente mayor.
La ICO señala que los registros de casi 82,000 conductores con sede en el Reino Unido, incluidos los detalles de los viajes realizados y cuánto se les pagó, se tomaron durante el incidente de violación que tuvo lugar en octubre y noviembre de 2016, pero que Uber solo reveló públicamente hace un año. .
Mientras que en los Países Bajos, el regulador señala que la infracción afectó a 174.000 ciudadanos holandeses.
GDPR también ha introducido requisitos de divulgación de infracciones en toda la UE, lo que significa que los controladores de datos ahora deben notificar a las autoridades pertinentes dentro de las 72 horas posteriores a una infracción importante que afecte los datos personales de los ciudadanos europeos. Y los controladores de datos pueden ser multados por retrasar una notificación de infracción.
El organismo de control del Reino Unido dijo que su investigación de la violación de Uber de 2016 encontró que el ‘relleno de credenciales’ se usó para obtener acceso al almacenamiento de datos de Uber, en referencia a un proceso mediante el cual se inyectan pares de nombre de usuario y contraseña comprometidos en los sitios web hasta que coinciden con una cuenta existente.
Sin embargo, el organismo de control también enfatiza el manejo problemático de Uber del incidente, expresando esto como una “toma de decisiones inadecuada”, no simplemente censurando la seguridad también “inadecuada” de Uber.
En lugar de revelar la violación de manera oportuna, Uber decidió pagar $ 100,000 a los piratas informáticos que habían obtenido el caché de datos personales, pidiéndoles que lo destruyeran y enviando este pago a través de un tercero que administra su programa de recompensas por errores.
La ICO describe este encubrimiento como “inapropiado”, señalando que los piratas informáticos actuaron maliciosamente, ya que buscaban explotar una vulnerabilidad para obtener acceso ilegal a los datos, por lo que no eran en absoluto “destinatarios legítimos de recompensas por errores”.
En un comentario en un comunicado, el director de investigaciones de ICO, Steve Eckersley, dijo: “Pagar a los atacantes y luego guardar silencio al respecto no fue, en nuestra opinión, una respuesta adecuada al ciberataque. Aunque no existía la obligación legal de informar las violaciones de datos según la legislación anterior, es probable que las malas prácticas de protección de datos de Uber y las decisiones y conductas posteriores hayan agravado la angustia de los afectados “.
“Esto no solo fue una falla grave en la seguridad de los datos por parte de Uber, sino una total indiferencia hacia los clientes y conductores cuya información personal fue robada. En ese momento, no se tomaron medidas para informar a las personas afectadas por la infracción ni para ofrecer ayuda y apoyo. Eso los dejó vulnerables ”, agregó.
En el texto de decisión completo detallando las razones de la sanción monetaria, la ICO también escribe que su intención es “disuadir más infracciones de este tipo, tanto de Uber como de otros”.
El organismo de control holandés también señala que Uber no reveló de inmediato la infracción como motivo de su multa.
Nos comunicamos con Uber para obtener comentarios y un portavoz nos envió por correo electrónico la siguiente declaración:
Nos complace cerrar este capítulo sobre el incidente de datos de 2016. Como compartimos con las autoridades europeas durante sus investigaciones, hemos realizado una serie de mejoras técnicas en la seguridad de nuestros sistemas, tanto inmediatamente después del incidente. como en los años posteriores. También hemos realizado cambios significativos en el liderazgo para garantizar la transparencia adecuada con los reguladores y los clientes en el futuro. A principios de este año, contratamos a nuestro primer director de privacidad, director de protección de datos y un nuevo director de confianza y seguridad. Aprendemos de nuestros errores y continuamos con nuestro compromiso de ganarnos la confianza de nuestros usuarios todos los días.
Uber no respondió a una solicitud de comentarios sobre la descripción de la ICO de su encubrimiento como “inapropiado”.
Source link