Bild: Getty Images
Office of the Australian Information Commissioner (OAIC) har meddelat sitt beslut att Uber störde integriteten för över en miljon australier under 2016.
Australiens informationskommissionär och sekretesskommissionär Angelene Falk på fredag sa USA-baserade Uber Technologies Inc och holländskt baserade Uber BV misslyckades med att skydda personuppgifterna på uppskattningsvis 1,2 miljoner australiska kunder och chaufförer, när det nås från ett brott i oktober och november 2016.
Det kom fram i slutet av 2017 att hackare hade stulit data som hänför sig till 57 miljoner Uber-förare över hela världen, samt data om mer än 600 000 förare. Istället för att meddela de drabbade dolda Uber överträdelsen i mer än ett år och betalade en hackare för att hålla den under omslaget.
Uber krävde att angriparna förstörde uppgifterna och det fanns inga bevis för ytterligare missbruk. OAIC sa att utredningen fokuserade på huruvida Uber hade förebyggande åtgärder för att skydda australiensiska uppgifter.
Nå hela historien här: Tidigare Uber CSO debiteras för 2016 hack cover-up
Falk fann att Uber-företagen bröt mot Privacy Act 1988 genom att inte vidta rimliga åtgärder för att skydda australiensers personliga information från obehörig få tillgång till och att förstöra eller avidentifiera uppgifterna efter behov.
Teknikjätten misslyckades också med att vidta rimliga åtgärder för att implementera metoder, förfaranden och system för att säkerställa att de australiska sekretessprinciperna (APP) följs, sa hon.”I stället för att avslöja överträdelsen på ett ansvarsfullt sätt, betalade Uber angriparna en belöning genom ett bug-bounty-program för att identifiera en säkerhetssårbarhet”, säger beslutet. “Uber genomförde inte en fullständig bedömning av den personliga informationen som kan ha varit tillgänglig förrän nästan ett år efter dataintrånget och avslöjade inte dataintrånget offentligt förrän i november 2017.”
APP 11.1 kräver att företag vidtar rimliga åtgärder för att skydda personlig information mot obehörig åtkomst, medan APP 11.2 kräver rimliga åtgärder för att ta bort eller avidentifiera personlig information som inte längre behövs för ett tillåtet ändamål. OAIC konstaterade också att APP 1.2 överträddes, vilket kräver att företag vidtar rimliga åtgärder för att implementera metoder, förfaranden och system som rör enhetens funktioner eller aktiviteter för att säkerställa att APP: erna följs.
I henne beslutsamhet, sa Falk att Uber-företagen inte får upprepa dessa handlingar och metoder.
Hon har också begärt att Uber inom tre månader utarbetar en datalagrings- och förstöringspolicy som, när den implementeras, möjliggör och säkerställer Uber-företagens efterlevnad av APP 11.2.
Falk har också bett Uber att upprätta ett informationssäkerhetsprogram och utse en person som ska köra sitt rodret. Programmet måste identifiera risker relaterade till säkerheten eller integriteten för personlig information för australiska användare som samlats in och/eller innehas av Uber-företagen som kan leda till missbruk, störningar eller förlust eller obehörig åtkomst, modifiering eller avslöjande av denna information. Den måste också innehålla uppfriskningsträning för personalen och skryta med stela skyddsåtgärder.
Sekretessmyndigheten vill också ha en plan för incidenthantering som genomförs av företaget, som innehåller en tydlig förklaring av vad som utgör ett dataintrång.
Falk sa att frågan väckte komplexa frågor kring tillämpningen av Privacy Act på utomeuropeiska företag som outsourcar hanteringen av australiernas personuppgifter till andra företag inom deras företagsgrupp. information hade överförts direkt till servrar i USA enligt ett outsourcingarrangemang, och det amerikanska företaget hävdade att det inte var föremål för Privacy Act.
“Australierna behöver försäkran om att de skyddas av Privacy Handla när de tillhandahåller personlig information till ett företag, även om det överförs utomlands inom företagsgruppen, “tillade hon.
För detta ändamål inkluderade hennes beslutsamhet också en begäran om en oberoende bedömning av Ubers efterlevnad av Australian Privacy Act.
Kommissionären har också beordrat Uber-företagen att utse en oberoende expert för att granska och rapportera om dessa policyer. och program och deras genomförande, överlämna rapporterna till OAIC och göra nödvändiga ändringar som rekommenderas i rapporterna.
Uber i september 2018 gick med på att betala 148 miljoner dollar i en amerikansk förlikning över händelsen och fick några månader senare böter på över 900 000 pund av brittiska och holländska vakthundar i samband med dataintrånget 2016.
Två män vädjade i oktober 2019 skyldig till hacket och Ubers tidigare säkerhetschef anklagades i augusti 2020 av amerikanska myndigheter för täckmantel.
Som svar på OAIC: s beslutsamhet sa en Uber-talesman till ZDNet att den välkomnade resolutionen. till händelsen.
“Vi lär oss av våra misstag och upprepar vårt åtagande att fortsätta att förtjäna användarnas förtroende”, sa de.
“Vi har gjort ett antal tekniska förbättringar av säkerheten i våra system, bland annat genom att erhålla ISO 27001-certifiering av våra grundläggande affärsinformationssystem och uppdatera interna säkerhetspolicyer, samt att göra betydande förändringar i ledarskapet sedan denna händelse 2016.
“Vi är övertygade om att dessa förändringar i säkerhet och styrning kommer att ta itu med OAIC: s beslutsamhet och kommer att samarbeta med en tredje parts bedömare för att genomföra eventuella ytterligare ändringar som krävs.”
Uppdaterad kl. 16:10 AEST fredag 23 juli 2021: Tillagt uttalande från Uber-talesman.
MER FRÅN UBER
Avskedad Uber Eats leveransarbetares federala domstols överklagande börjar Uber, Lyft för att dela data om förare förbjuden för sexuella, fysiska övergreppUber säljer lufttaxiföretag, men skulle det ha tagit fart i Australien? Uber: Vi investerade under i teknikUber Freight expanderar för att betjäna kunder med mindre försändelserUber planerar att lägga till alkoholleverans till Uber Eats med $ 1,1 miljarder förvärv
Relaterade ämnen:
Australia Security TV Data Management CXO Data Centers 