Uber因2016年的数据泄露事件被英国和荷兰监管机构罚款110万美元

英国和荷兰的数据保护监管机构在本周周二对Uber公司处以1170892美元（约110万美元）的罚款，原因是该公司在2016年涉及数百万用户的网络攻击中未能保护其客户的个人隐私信息。

在去年年底，Uber披露该公司在2016年10月遭遇大规模数据泄露，暴露了5700万名Uber司机的姓名、电子邮件地址和电话号码以及约60万名司机的驾驶执照号码。

据报道，除此之外，Uber公司并没有立马披露这一数据被盗事件，而是支付了10万美元赎金给两个黑客以获取被盗数据，并且要求黑客保守这个秘密并删除信息。

今日，英国信息专员办公室（ICO）对Uber处以385000英镑（491102美元）的罚款，而荷兰数据保护局（荷兰DPA）对Uber未能保护其300万英国公民和174000荷兰公民的个人信息处以60万欧元（679790美元）的罚款。

“在2016年，Uber公司因黑客未经授权访问客户和司机的个人数据的原因发生了数据泄露。Uber公司之所以被罚款，是因为它在发现数据泄露后72小时内没有向荷兰数据保护局报告数据泄露事件。

ICO还证实，攻击者能够利用填充攻击来破坏Uber的云存储系统——“一种将强度较弱的用户名和密码不停的注入进网站直到它们与某个现有账户相匹配的过程”——这个漏洞本来是可以“避免的”。

ICO表示，“Uber美国没有正常运营它的漏洞赏金计划。在这起事件中，Uber付钱给了攻击者，而这些攻击者与合法的漏洞赏金挖掘者完全不同：他们不仅不负责任地发现、泄露漏洞，还恶意地利用漏洞非法获取Uber用户的隐私信息。”

英国监管部门还表示，此次事件中受到影响的客户均未接到安全警告。相反，去年网络攻击事件曝光后的12个月时间内，Uber开始监控受影响的司机和乘客是否有欺诈行为。

而在当时，Uber通知监管当局已向受影响的司机提供免费的信用监测和身份被窃保护。

该公司还向用户保证，此次攻击没有泄露用户的其他个人信息，如旅行地点历史、信用卡号码、银行账户号码、社会保障号码或出生日期等。

由于数据泄露发生在欧盟通用数据保护条例（GDPR）于2018年5月生效之前，所以根据英国1998年较老旧的数据保护法所征收的385000英镑的罚款数目较少。

如果根据欧盟的《通用数据保护条例》（GDPR）的规定，罚款可能要大得多，因为客户隐私的严重泄露，一家公司最高可能面临1700万英镑或者其全球年收入的4%的罚款，上不封顶。

上个月，英国数据保护监督机构还对Facebook处以50万英镑的罚款，因为Facebook允许政治咨询公司的剑桥分析公司（Cambridge Analytica）非法收集8700万用户的数据。

今年9月，ICO还对信用报告机构Equifax发布了最高50万英镑的罚款，因为其在去年安全事件中泄露了数亿客户的财务数据。

原文链接：https://securityaffairs.co/wordpress/78483/laws-and-regulations/uber-fines-data-breach.html