Uber bị phạt vì đã không bảo vệ thông tin cá nhân của khách hàng trong vụ tấn công không gian mạng hồi 2016, ảnh hưởng tới hàng triệu người dùng.
Các cơ quan quản lý bảo vệ dữ liệu Anh và Hà Lan đã phạt Công ty cung cấp dịch vụ chia sẻ chuyến đi Uber với tổng số tiền 1,170,892 đô la.
Cuối năm ngoái, Uber công bố rằng công ty đã trải qua một vụ rò rỉ dữ liệu rất lớn vào tháng 10 năm 2016, khiến tên, địa chỉ email, số điện thoại của 57 triệu người dùng và số bằng lái xe của 600,000 lái xe Uber bị lộ lọt.
Tuy nhiên, thay vì công khai thông tin sự việc, Uber lại trả 100,000 đô cho hai tên tin tặc cướp dữ liệu để giữ bí mật và xóa mọi thông tin bị cướp.
Thứ 3 tuần vừa qua, Văn phòng Ủy ban Thông tin Anh (ICO) đã phạt Uber 850.000 bảng Anh (491.102 USD), trong khi Cơ quan Bảo vệ Dữ liệu Hà Lan (Dutch DPA) phạt 600.000 euro (679.790 USD) vì không bảo vệ thông tin cá nhân của 3 triệu người Anh và 174.000 người Hà Lan.
“Vào năm 2016, một vụ rò rỉ dữ liệu xảy ra tại Uber, cụ thể là truy cập trái phép vào dữ liệu cá nhân của khách hàng và lái xe.” “Uber bị phạt vì đã không báo cáo vi phạm dữ liệu cho DPA Hà Lan và các chủ sở hữu dữ liệu trong vòng 72 giờ sau khi phát hiện ra vi phạm”, DPA Hà Lan cho biết.
ICO khẳng định rằng những kẻ tấn công đã xâm nhập hệ thống lưu trữ đám mây của Uber bằng cách tấn công stuffing – “là một quá trình các cặp tên người dùng và mật khẩu được inject vào các trang web cho đến khi chúng trùng với một tài khoản hiện có”. Đây là một lỗ hổng có thể tránh được và nếu thực hiện bảo mật tốt thì việc Uber bị phạt cũng không xảy ra.
“Uber đã không tuân theo các quy chế của chương trình tìm lỗi nhận thưởng của mình. Trong trường hợp này, Uber (cơ sở ở Mỹ) đã trả tiền cho những kẻ tấn công bên ngoài chứ không phải một người tham gia chương trình tìm lỗi nhận thưởng hợp pháp: thay vì chỉ xác định một lỗ hổng và tiết lộ nó một cách có trách nhiệm, họ đã khai thác lỗ hổng và cố tình thu thập thông tin cá nhân liên quan đến người dùng Uber.”
Theo một nguồn thông tin bên lề cho biết, không ai trong số các khách hàng bị ảnh hưởng được thông báo về vụ việc này. Thay vào đó, Uber bắt đầu giám sát tài khoản khách hàng và lái xe bị ảnh hưởng suốt12 tháng sau cuộc tấn công cho đến khi vụ việc được công bố năm ngoái.
Vì vụ vi phạm dữ liệu này xảy ra trước khi Quy định chung về bảo vệ dữ liệu của EU (GDPR) có hiệu lực vào tháng 5 năm 2018, mức phạt 385.000 bảng mà Uber bị phạt theo Bộ luật bảo vệ dữ liệu Anh Quốc năm 1998 vẫn còn nhẹ.
Mức Uber bị phạt có thể còn lớn hơn nhiều nếu áp dụng Quy định GDPR với mức phạt tối đa 17 triệu bảng hoặc 4% doanh thu toàn cầu hàng năm, tùy theo mức nào cao hơn.
Bên cạnh vụ Uber bị phạt, tháng trước Facebook cũng đã bị áp dụng án phạt 500,000 bảng vì cho phép công ty tư vấn chính trị Cambridge Analytica thu thập và lạm dụng dữ liệu của 87 triệu người dùng không đúng cách.
Vào tháng 9, ICO cũng đã ban hành mức phạt tối đa 500.000 bảng cho Cơ quan báo cáo tín dụng Equifax vì vụ vi phạm dữ liệu lớn hồi năm ngoái đã làm lộ dữ liệu cá nhân và tài chính của hàng trăm triệu khách hàng.
THN