Bild: Getty Images
Das Office of the Australian Information Commissioner (OAIC) hat festgestellt, dass Uber 2016 in die Privatsphäre von über 1 Million Australiern eingegriffen hat.
Australiens Information Commissioner und Privacy Commissioner Angelene Falk sagte am Freitag gegenüber der US-amerikanischen Uber Technologies Inc und Uber BV mit Sitz in den Niederlanden haben es versäumt, die personenbezogenen Daten von schätzungsweise 1,2 Millionen australischen Kunden und Fahrern angemessen zu schützen, als im Oktober und November 2016 nach einer Sicherheitsverletzung darauf zugegriffen wurde.
Ende 2017 wurde bekannt, dass Hacker Daten von 57 Millionen Uber-Fahrern weltweit sowie Daten von mehr als 600.000 Fahrern gestohlen hatten. Anstatt die Betroffenen zu benachrichtigen, hat Uber die Sicherheitsverletzung mehr als ein Jahr lang verschwiegen und einen Hacker dafür bezahlt, sie geheim zu halten.
Obwohl Uber die Angreifer aufforderte, die Daten zu vernichten, und es keine Hinweise auf weiteren Missbrauch gab, Laut OAIC konzentrierte sich seine Untersuchung darauf, ob Uber vorbeugende Maßnahmen zum Schutz der Daten der Australier getroffen hat.
Lesen Sie hier die ganze Geschichte: Ehemaliger Uber-CSO, angeklagt wegen Vertuschung von Hackern im Jahr 2016
Falk stellte fest, dass die Uber-Unternehmen gegen den Datenschutzgesetz von 1988 verstoßen haben, indem sie keine angemessenen Schritte unternommen haben, um die personenbezogenen Daten der Australier vor Unbefugten zu schützen Zugang zu erhalten und die Daten bei Bedarf zu vernichten oder zu anonymisieren.
Der Technologieriese habe es auch versäumt, angemessene Schritte zur Implementierung von Praktiken, Verfahren und Systemen zu unternehmen, um die Einhaltung der australischen Datenschutzgrundsätze (APP) sicherzustellen, sagte sie.
“Anstatt die Sicherheitslücke verantwortungsvoll aufzudecken, zahlte Uber den Angreifern eine Belohnung über ein Bug-Bounty-Programm für die Identifizierung einer Sicherheitslücke”, heißt es in der Feststellung. “Uber hat erst fast ein Jahr nach der Datenschutzverletzung eine vollständige Bewertung der personenbezogenen Daten vorgenommen, auf die möglicherweise zugegriffen wurde, und die Datenschutzverletzung erst im November 2017 öffentlich gemacht.”
APP 11.1 verlangt von Unternehmen, angemessene Schritte zu unternehmen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen, während APP 11.2 angemessene Schritte erfordert, um personenbezogene Daten zu löschen oder zu anonymisieren, die für einen zulässigen Zweck nicht mehr benötigt werden. Ebenfalls verletzt wurde laut OAIC APP 1.2, das von Unternehmen verlangt, angemessene Schritte zu unternehmen, um Praktiken, Verfahren und Systeme in Bezug auf die Funktionen oder Aktivitäten des Unternehmens zu implementieren, um die Einhaltung der APPs sicherzustellen.
In ihr Entschlossenheit sagte Falk, dass die Uber-Unternehmen diese Handlungen und Praktiken nicht wiederholen dürfen.
Sie hat Uber außerdem aufgefordert, innerhalb von drei Monaten eine Richtlinie zur Datenaufbewahrung und -vernichtung auszuarbeiten, die bei Umsetzung die Einhaltung von APP 11.2 durch die Uber-Unternehmen ermöglicht und gewährleistet.
Falk hat Uber auch gebeten, ein Informationssicherheitsprogramm einzurichten und eine Person zu ernennen, die das Ruder leitet. Das Programm muss Risiken im Zusammenhang mit der Sicherheit oder Integrität der von den Uber-Unternehmen gesammelten und/oder gespeicherten personenbezogenen Daten australischer Benutzer identifizieren, die zu Missbrauch, Störungen oder Verlust oder unbefugtem Zugriff, Änderung oder Offenlegung dieser Daten führen können. Es muss auch Auffrischungsschulungen für das Personal beinhalten und strenge Sicherheitsvorkehrungen treffen.
Der Datenschutzbeauftragte möchte auch einen vom Unternehmen implementierten Vorfallreaktionsplan, der eine klare Erklärung enthält, was eine Datenschutzverletzung darstellt.
Falk sagte, die Angelegenheit werfe komplexe Fragen im Zusammenhang mit der Anwendung des Datenschutzgesetzes auf Unternehmen mit Sitz im Ausland auf, die den Umgang mit den personenbezogenen Daten von Australiern an andere Unternehmen innerhalb ihrer Unternehmensgruppe auslagern.
In diesem Fall sind die persönlichen Daten der Australier Informationen wurden im Rahmen einer Outsourcing-Vereinbarung direkt an Server in den Vereinigten Staaten übertragen, und das US-amerikanische Unternehmen argumentierte, dass sie nicht dem Datenschutzgesetz unterliegen.
“Australier müssen versichert sein, dass sie durch die Datenschutzbestimmungen geschützt sind Handeln Sie, wenn sie einem Unternehmen personenbezogene Daten zur Verfügung stellen, auch wenn diese innerhalb der Unternehmensgruppe ins Ausland übertragen werden”, fügte sie hinzu.
Zu diesem Zweck umfasste ihre Entscheidung auch einen Antrag auf eine unabhängige Bewertung der Einhaltung des australischen Datenschutzgesetzes durch Uber.
Der Kommissar hat auch die Uber-Unternehmen angewiesen, einen unabhängigen Experten zu benennen, der diese Richtlinien überprüft und darüber berichtet. und Programme und deren Umsetzung, übermitteln Sie die Berichte an das OAIC und nehmen Sie alle notwendigen Änderungen vor, die in den Berichten empfohlen werden.
Uber stimmte im September 2018 zu, 148 Millionen US-Dollar in einem US-amerikanischen Vergleich über den Vorfall zu zahlen, und wurde einige Monate später von britischen und niederländischen Wachhunden im Zusammenhang mit der Datenpanne von 2016 mit einer Geldstrafe von über 900.000 GBP belegt.
Zwei Männer plädierten dafür sich im Oktober 2019 des Hacks schuldig gemacht und der ehemalige Chief Security Officer von Uber wurde im August 2020 von den US-Behörden wegen der Vertuschung angeklagt.
Als Reaktion auf die Entscheidung der OAIC sagte ein Uber-Sprecher gegenüber ZDNet, dass er die Resolution begrüße zu dem Vorfall.
“Wir lernen aus unseren Fehlern und bekräftigen unser Engagement, weiterhin das Vertrauen der Nutzer zu gewinnen”, sagten sie.
“Wir haben seit diesem Vorfall im Jahr 2016 eine Reihe technischer Verbesserungen an der Sicherheit unserer Systeme vorgenommen, darunter die ISO 27001-Zertifizierung unserer Kerngeschäftsinformationssysteme und die Aktualisierung der internen Sicherheitsrichtlinien sowie erhebliche Veränderungen in der Führung. < /p>
“Wir sind zuversichtlich, dass diese Änderungen in Bezug auf Sicherheit und Governance der Entscheidung der OAIC Rechnung tragen und werden mit einem externen Gutachter zusammenarbeiten, um alle weiteren erforderlichen Änderungen umzusetzen.”
Aktualisiert am Freitag, 23. Juli 2021, 16:10 Uhr AEST: Erklärung des Uber-Sprechers hinzugefügt.
MEHR VON UBER
Die Berufung eines entlassenen Uber Eats-Lieferanten beginnt bei Uber, Lyft, um Daten über Fahrer zu teilen wegen sexueller, körperlicher Übergriffe verbotenUber verkauft Lufttaxi-Geschäfte, aber wäre es in Australien durchgekommen?Uber: Wir haben zu wenig in Technologie investiertUber Freight expandiert, um Kunden mit kleineren Sendungen zu bedienenUber plant, Uber Eats mit einer Übernahme von 1,1 Mrd. USD um Alkohol zu beliefern
Verwandte Themen:
Australien Security TV Data Management CXO Data Centers 