Billede: Getty Images
Kontoret for den australske informationskommissær (OAIC) har afsagt sin beslutning om, at Uber blandede sig med privatlivets fred for over 1 million australiere i 2016.
Australiens informationskommissær og privatlivskommissær Angelene Falk sagde fredag, at USA-baserede Uber Technologies Inc og hollandsk-baserede Uber BV undlod at beskytte personoplysningerne på anslået 1,2 millioner australske kunder og chauffører, da der blev adgang til dem fra et brud i oktober og november 2016.
Det kom frem i slutningen af 2017, at hackere havde stjålet data vedrørende 57 millioner Uber-kørere over hele verden samt data om mere end 600.000 drivere. I stedet for at underrette de berørte, skjulte Uber overtrædelsen i mere end et år og betalte en hacker for at holde det under omslag.
Mens Uber krævede, at angriberne ødelagde dataene, og der ikke var noget bevis for yderligere misbrug, OAIC sagde, at undersøgelsen fokuserede på, om Uber havde forebyggende foranstaltninger på plads for at beskytte australiernes data.
Nå hele historien her: Tidligere Uber CSO anklaget for hack-cover-up i 2016 Falk fandt, at Uber-virksomhederne overtrådte Privacy Act 1988 ved ikke at tage rimelige skridt til at beskytte australiernes personlige oplysninger mod uautoriserede få adgang til og ødelægge eller de-identificere dataene efter behov.
Teknologigiganten undlod også at tage rimelige skridt til at implementere praksis, procedurer og systemer for at sikre overholdelse af de australske fortrolighedsprincipper (APP), sagde hun.
“I stedet for at afsløre bruddet ansvarligt betalte Uber angriberne en belønning gennem et bug-bounty-program for at identificere en sikkerhedssårbarhed,” siger beslutningen. “Uber foretog ikke en fuldstændig vurdering af de personlige oplysninger, der muligvis har været adgang til næsten et år efter databrudet, og offentliggjorde ikke offentligheden databruddet indtil november 2017.”
APP 11.1 kræver, at virksomheder tager rimelige skridt for at beskytte personlige oplysninger mod uautoriseret adgang, mens APP 11.2 kræver rimelige skridt for at slette eller de-identificere personlige oplysninger, der ikke længere er nødvendige for et tilladt formål. OAIC konstaterede også, at APP 1.2 var brudt, hvilket kræver, at virksomheder tager rimelige skridt til at implementere praksis, procedurer og systemer i forbindelse med enhedens funktioner eller aktiviteter for at sikre overholdelse af APP'erne.
I hende beslutsomhed, sagde Falk, at Uber-virksomhederne ikke må gentage disse handlinger og praksis.
Hun har også anmodet om, at Uber inden for tre måneder udarbejder en datalagrings- og destruktionspolitik, der, når den er implementeret, muliggør og sikrer, at Uber-virksomhederne overholder APP 11.2.
Falk har også bedt Uber om at etablere et informationssikkerhedsprogram og udpege en person til at køre sin ror. Programmet skal identificere risici i forbindelse med sikkerheden eller integriteten af personlige oplysninger for australske brugere indsamlet og/eller indeholdt af Uber-virksomhederne, der kan resultere i misbrug, interferens eller tab eller uautoriseret adgang, ændring eller videregivelse af disse oplysninger. Det skal også omfatte opfriskningstræning for personalet og prale af stive beskyttelsesforanstaltninger.
Privatkommissæren ønsker også, at en hændelsesplan implementeres af virksomheden, som indeholder en klar forklaring på, hvad der udgør en databrudelse.
Falk sagde, at sagen rejste komplekse problemer omkring anvendelsen af Privacy Act til udenlandske virksomheder, der outsourcer håndteringen af australiernes personlige oplysninger til andre virksomheder inden for deres koncern.
I dette tilfælde er australiernes personlige oplysninger var blevet direkte overført til servere i USA under et outsourcingarrangement, og det amerikanske firma hævdede, at det ikke var underlagt Privacy Act.
“Australiere har brug for sikkerhed for, at de er beskyttet af Privacy Handle, når de giver personlige oplysninger til en virksomhed, selvom de overføres til udlandet inden for koncernen, “tilføjede hun.
Til dette formål omfattede hendes beslutning også en anmodning om en uafhængig vurdering af Ubers overholdelse af den australske privatlivslov.
Kommissæren har også beordret Uber-virksomhederne at udpege en uafhængig ekspert til at gennemgå og rapportere om disse politikker. og programmer og deres implementering, indsende rapporterne til OAIC og foretage de nødvendige ændringer, der anbefales i rapporterne.
Uber i september 2018 indvilligede i at betale 148 millioner dollars i et amerikansk forlig over hændelsen, og blev få måneder senere idømt en bøde på £ 900.000 af britiske og hollandske vagthunde i forhold til databruddet i 2016.
To mænd bønfaldt skyldig i oktober 2019 for hacket, og Ubers tidligere sikkerhedschef blev anklaget i august 2020 af amerikanske myndigheder for skjult.
Som svar på OAIC's beslutsomhed fortalte en Uber-talsmand ZDNet, at det hilste beslutningen velkommen. til hændelsen.
“Vi lærer af vores fejl og gentager vores forpligtelse til fortsat at optjene brugernes tillid,” sagde de.
“Vi har foretaget en række tekniske forbedringer af sikkerheden i vores systemer, herunder opnåelse af ISO 27001-certificering af vores kerneforretningsinformationssystemer og opdatering af interne sikkerhedspolitikker samt foretag væsentlige ændringer i lederskabet siden denne hændelse i 2016.
“Vi er overbeviste om, at disse ændringer i sikkerhed og styring vil tage fat på den beslutning, som OAIC har truffet, og vil samarbejde med en tredjepartsvurderingsmand om at gennemføre eventuelle yderligere nødvendige ændringer.”
Opdateret kl. 16:10 AEST fredag 23. juli 2021: Tilføjet erklæring fra Uber-talsmand.
MERE FRA UBER
Afskediget Uber Eats-leveringsmedarbejder føderale domstol appel begynder Uber, Lyft for at dele data om chauffører forbudt for seksuelt, fysisk overgrebUber-salg af lufttaxi-forretning, men ville det have taget fart i Australien? Uber: Vi har underinvesteret i teknologiUber Freight udvider til at betjene kunder med mindre forsendelserUber planlægger at tilføje alkoholleverance til Uber Eats med $ 1,1 m erhvervelse
Relaterede emner:
Australien Security TV Data Management CXO Data Centers 