Bilde: Getty Images
Office of the Australian Information Commissioner (OAIC) har avgitt sin beslutning om at Uber forstyrret personvernet til over en million australiere i 2016.
Australias informasjonskommisjonær og personvernkommissær Angelene Falk sa fredag at USA-baserte Uber Technologies Inc og nederlandsk-baserte Uber BV klarte ikke å beskytte personopplysningene til anslagsvis 1,2 millioner australske kunder og drivere på en hensiktsmessig måte, da de ble åpnet fra et brudd i oktober og november 2016.
Det kom frem i slutten av 2017 at hackere hadde stjålet data vedrørende 57 millioner Uber-ryttere over hele verden, samt data om mer enn 600.000 sjåfører. I stedet for å varsle de berørte, skjulte Uber bruddet i mer enn et år og betalte en hacker for å holde det under omslag.
Mens Uber krevde angriperne å ødelegge dataene, og det ikke var noe bevis for ytterligere misbruk, OAIC sa at etterforskningen fokuserte på om Uber hadde forebyggende tiltak for å beskytte australiernes data.
Nå hele historien her: Tidligere Uber CSO belastet for 2016 hack cover-up
Falk fant Uber-selskapene brøt Privacy Act 1988 ved ikke å ta rimelige skritt for å beskytte australiernes personlige informasjon fra uautoriserte få tilgang til og å ødelegge eller avidentifisere dataene etter behov.
Teknologigiganten klarte heller ikke å ta rimelige tiltak for å implementere praksis, prosedyrer og systemer for å sikre overholdelse av de australske personvernprinsippene (APP), sa hun.
“I stedet for å avsløre bruddet på en ansvarlig måte, betalte Uber angriperne en belønning gjennom et bug-bounty-program for å identifisere et sikkerhetsproblem,” heter det i beslutningen. “Uber gjennomførte ikke en fullstendig vurdering av personopplysningene som kan ha blitt brukt til nesten et år etter databruddet, og offentliggjorde ikke databruddet før i november 2017.”
APP 11.1 krever at selskaper tar rimelige tiltak for å beskytte personlig informasjon mot uautorisert tilgang, mens APP 11.2 krever rimelige tiltak for å slette eller avidentifisere personlig informasjon som ikke lenger er nødvendig for et tillatt formål. OAIC fant også at APP 1.2 ble brutt, noe som krever at selskaper tar rimelige tiltak for å implementere praksis, prosedyrer og systemer knyttet til enhetens funksjoner eller aktiviteter for å sikre overholdelse av APPene.
I henne besluttsomhet, sa Falk at Uber-selskapene ikke må gjenta disse handlingene og praksisene.
Hun har også bedt om at Uber innen tre måneder utarbeider en datalagrings- og destruksjonspolitikk som, når den blir implementert, muliggjør og sikrer overholdelse av Uber-selskapene med APP 11.2.
Falk har også bedt Uber om å etablere et informasjonssikkerhetsprogram og utnevne en person til å lede roret. Programmet må identifisere risikoer knyttet til sikkerheten eller integriteten til personlig informasjon til australske brukere som er samlet inn og/eller holdt av Uber-selskapene, og som kan føre til misbruk, forstyrrelser eller tap, eller uautorisert tilgang, endring eller utlevering av denne informasjonen. Det må også omfatte opplæringstrening for personalet og kan skryte av stive beskyttelsesforanstaltninger.
Personvernkommisjonæren ønsker også en plan for hendelsesrespons implementert av selskapet, som inkluderer en klar forklaring på hva som utgjør et brudd på data.
Falk sa at saken reiste komplekse spørsmål rundt anvendelsen av personvernloven til utenlandsbaserte selskaper som outsourcer håndteringen av australiernes personlige informasjon til andre selskaper i konsernkonsernet. informasjon hadde blitt overført direkte til servere i USA under en outsourcingordning, og det USA-baserte selskapet hevdet at det ikke var underlagt Privacy Act.
“Australiere trenger forsikring om at de er beskyttet av Privacy Handle når de gir personlig informasjon til et selskap, selv om det overføres utenlands innen konsernkonsernet, “la hun til.
For å oppnå dette inkluderte hennes besluttsomhet også en forespørsel om en uavhengig vurdering av Ubers overholdelse av den australske personvernloven. og programmer og implementering av dem, sende rapportene til OAIC, og foreta nødvendige endringer anbefalt i rapportene.
Uber avtalt i september 2018 å betale 148 millioner dollar i et amerikansk oppgjør på grunn av hendelsen, og ble noen måneder senere bøtelagt over £ 900.000 av britiske og nederlandske vakthunder i forhold til databruddet i 2016.
To menn ba skyldig i oktober 2019 for hacket, og Ubers tidligere sikkerhetsoffiser ble siktet i august 2020 av amerikanske myndigheter for skjul.
Som svar på OAICs besluttsomhet sa en Uber-talsperson til ZDNet at den ønsket resolusjonen velkommen. til hendelsen.
“Vi lærer av feilene våre og gjentar vår forpliktelse til å fortsette å tjene tilliten til brukerne,” sa de.
“Vi har gjort en rekke tekniske forbedringer av sikkerheten til systemene våre, inkludert å oppnå ISO 27001-sertifisering av våre kjerneforretningsinformasjonssystemer og oppdatering av interne sikkerhetspolitikker, samt å gjøre betydelige endringer i ledelse, siden denne hendelsen i 2016.
“Vi er sikre på at disse endringene i sikkerhet og styring vil ta stilling til OAICs besluttsomhet, og vil samarbeide med en tredjepartsvurderer for å implementere eventuelle ytterligere endringer som kreves.”
Oppdatert 16.10 AEST fredag 23. juli 2021: Lagt til uttalelse fra Uber-talsperson.
MER FRA UBER
Oppsagt Uber Eats leveransearbeiders føderale domstol anke begynner Uber, Lyft for å dele data om sjåfører utestengt for seksuelle, fysiske overgrep Ubersalg av lufttaxivirksomhet, men ville det ha tatt fart i Australia? Uber: Vi investerte under i teknologi Uber Freight utvider for å betjene kunder med mindre forsendelser Uber planlegger å legge til alkoholleveranse til Uber Eats med anskaffelse på $ 1,1 milliarder kroner
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 