Immagine: Getty Images
L'Office of the Australian Information Commissioner (OAIC) ha stabilito che Uber ha interferito con la privacy di oltre 1 milione di australiani nel 2016.
L'Australia's Information Commissioner e il Commissario per la privacy Angelene Falk venerdì hanno dichiarato con sede negli Stati Uniti Uber Technologies Inc e Uber BV, con sede in Olanda, non sono riuscite a proteggere adeguatamente i dati personali di circa 1,2 milioni di clienti e conducenti australiani, quando vi è stato accesso a causa di una violazione nell'ottobre e novembre 2016.
È emerso alla fine del 2017 che gli hacker avevano rubato dati relativi a 57 milioni di utenti Uber in tutto il mondo, nonché dati su oltre 600.000 conducenti. Invece di notificare le persone colpite, Uber ha nascosto la violazione per più di un anno e ha pagato un hacker per tenerla nascosta.
Mentre Uber richiedeva agli aggressori di distruggere i dati e non c'erano prove di ulteriori abusi, L'OAIC ha affermato che la sua indagine si è concentrata sul fatto che Uber disponesse di misure preventive per proteggere i dati degli australiani.
Scopri la storia completa qui: l'ex CSO di Uber accusato di insabbiamento di hacking nel 2016
Falk ha scoperto che le società Uber hanno violato il Privacy Act 1988 non adottando misure ragionevoli per proteggere le informazioni personali degli australiani da informazioni non autorizzate accedere e distruggere o rendere anonimi i dati secondo necessità.
Il gigante della tecnologia non è nemmeno riuscito a prendere misure ragionevoli per implementare pratiche, procedure e sistemi per garantire la conformità con i Principi sulla privacy australiani (APP), ha affermato.
“Piuttosto che divulgare la violazione in modo responsabile, Uber ha pagato agli aggressori una ricompensa attraverso un programma di bug bounty per identificare una vulnerabilità della sicurezza”, afferma la determinazione. “Uber non ha condotto una valutazione completa delle informazioni personali a cui è stato possibile accedere fino a quasi un anno dopo la violazione dei dati e non ha rivelato pubblicamente la violazione dei dati fino a novembre 2017.”
L'APP 11.1 richiede alle aziende di adottare misure ragionevoli per proteggere le informazioni personali dall'accesso non autorizzato, mentre l'APP 11.2 richiede l'adozione di misure ragionevoli per eliminare o anonimizzare le informazioni personali che non sono più necessarie per uno scopo consentito. Inoltre, secondo l'OAIC, è stata violata l'APP 1.2, che richiede alle aziende di adottare misure ragionevoli per implementare pratiche, procedure e sistemi relativi alle funzioni o attività dell'entità, per garantire la conformità con le APP.
Nella sua determinazione, Falk ha affermato che le società Uber non devono ripetere quegli atti e pratiche.
Ha inoltre richiesto a Uber di preparare, entro tre mesi, una politica di conservazione e distruzione dei dati che, una volta implementata, consentirà e garantirà la conformità da parte delle società Uber con l'APP 11.2.
Falk ha anche chiesto a Uber di istituire un programma di sicurezza delle informazioni e nominare un individuo per gestirne il timone. Il programma deve identificare i rischi relativi alla sicurezza o all'integrità delle informazioni personali degli utenti australiani raccolte e/o detenute dalle società Uber che potrebbero comportare uso improprio, interferenza o perdita o accesso, modifica o divulgazione non autorizzati di tali informazioni. Deve includere anche una formazione di aggiornamento per il personale e vantare rigide tutele.
Il commissario per la privacy vuole anche un piano di risposta agli incidenti implementato dall'azienda, che includa una chiara spiegazione di ciò che costituisce una violazione dei dati.
Falk ha affermato che la questione ha sollevato questioni complesse sull'applicazione della legge sulla privacy alle società con sede all'estero che esternalizzano la gestione delle informazioni personali degli australiani ad altre società all'interno del loro gruppo aziendale.
In questo caso, le informazioni personali degli australiani le informazioni erano state trasferite direttamente ai server negli Stati Uniti nell'ambito di un accordo di outsourcing e la società con sede negli Stati Uniti sosteneva che non erano soggette al Privacy Act.
“Gli australiani hanno bisogno di garanzie di essere protetti dalla Privacy Act. Agire quando forniscono informazioni personali a un'azienda, anche se vengono trasferite all'estero all'interno del gruppo aziendale”, ha aggiunto.
A tal fine, la sua determinazione includeva anche una richiesta per una valutazione indipendente dell'adesione di Uber all'Australian Privacy Act.
Il commissario ha anche ordinato alle società Uber di nominare un esperto indipendente per esaminare e riferire su queste politiche. e programmi e la loro attuazione, inviare i rapporti all'OAIC e apportare le modifiche necessarie raccomandate nei rapporti.
Uber nel settembre 2018 ha accettato di pagare $ 148 milioni in un accordo statunitense per l'incidente e pochi mesi dopo è stata multata di oltre £ 900.000 da autorità di vigilanza britanniche e olandesi in relazione alla violazione dei dati del 2016.
Due uomini si sono dichiarati. colpevole nell'ottobre 2019 per l'hack e l'ex capo della sicurezza di Uber è stato accusato nell'agosto 2020 dalle autorità statunitensi per l'insabbiamento.
In risposta alla determinazione dell'OAIC, un portavoce di Uber ha detto a ZDNet di aver accolto con favore la risoluzione all'incidente.
“Impariamo dai nostri errori e ribadiamo il nostro impegno a continuare a guadagnarci la fiducia degli utenti”, hanno affermato.
“Abbiamo apportato una serie di miglioramenti tecnici alla sicurezza dei nostri sistemi, tra cui l'ottenimento della certificazione ISO 27001 dei nostri principali sistemi informativi aziendali e l'aggiornamento delle politiche di sicurezza interne, oltre ad apportare cambiamenti significativi alla leadership, da questo incidente nel 2016. < /p>
“Siamo fiduciosi che questi cambiamenti nella sicurezza e nella governance affronteranno la determinazione presa dall'OAIC e collaboreranno con un valutatore di terze parti per implementare eventuali ulteriori modifiche necessarie.”
Aggiornato alle 16:10 AEST di venerdì 23 luglio 2021: Aggiunta dichiarazione del portavoce di Uber.
ALTRO DA UBER
Il licenziamento dell'addetto alle consegne Uber Eats inizia il ricorso alla Corte federale di Uber, Lyft per condividere i dati sui conducenti vietato per aggressione sessuale e fisicaUber vende attività di aerotaxi, ma sarebbe decollato in Australia? Uber: abbiamo investito poco nella tecnologia Uber Freight si espande per servire i clienti con spedizioni più piccoleUber prevede di aggiungere la consegna di alcolici a Uber Eats con l'acquisizione di $ 1,1 miliardi
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 