Uber: Παραβίαση των κανόνων περί ιδιωτικότητας διαπίστωσε το Γραφείο του Επιτρόπου Πληροφοριών της Αυστραλίας (OAIC)
Η Uber όχι μόνο απέτυχε να ερευνήσει την παράβαση εγκαίρως, αλλά επιβράβευσε τους εγκληματίες «μέσω ενός προγράμματος bug bounty για τον εντοπισμό μιας ευπάθειας ασφαλείας»
Την παραβίαση της ιδιωτικής ζωής περίπου 1,2 εκατομμυρίων Αυστραλών εκ μέρους της Uber διαπίστωσε το Γραφείο του Επιτρόπου Πληροφοριών της Αυστραλίας (OAIC), καθώς η εταιρεία απέτυχε να διερευνήσει και να ενημερώσει έγκαιρα σχετικά με παραβίαση δεδομένων που έλαβε χώρα το 2016.
Η Επίτροπος Πληροφοριών και Προστασίας Προσωπικών Δεδομένων, Angelene Falk, δήλωσε ότι η Uber παραβίασε τον Νόμο περί ιδιωτικότητας, καθώς δεν έλαβε εύλογα μέτρα για την προστασία των προσωπικών πληροφοριών των πελατών και των οδηγών από επίθεση στον κυβερνοχώρο που συνέβη σε περίοδο δύο μηνών στα τέλη του 2016.
Η OAIC, η οποία εστίασε κατά πόσον η Uber είχε λάβει προληπτικά μέτρα για την προστασία των προσωπικών πληροφοριών των Αυστραλών πολιτών, αποφάσισε ότι η Uber «απέτυχε να λάβει εύλογα μέτρα για την εφαρμογή πρακτικών, διαδικασιών και συστημάτων για να διασφαλίσει τη συμμόρφωση με τους κανόνες της Αυστραλίας».
Σύμφωνα με τον Falk, η Uber όχι μόνο απέτυχε να αποκαλύψει και να ερευνήσει την παράβαση εγκαίρως, αλλά επιβράβευσε τους εγκληματίες στον κυβερνοχώρο «μέσω ενός προγράμματος bug bounty για τον εντοπισμό μιας ευπάθειας ασφαλείας».
Αναφέροντας ότι η δράση της Αρχής ήταν απαραίτητη και δικαιολογημένη λαμβάνοντας υπόψη τις ενέργειες που έγιναν σε άλλες χώρες λόγω της επίθεσης, ο Φαλκ πρόσθεσε:
Πρέπει να διασφαλίσουμε ότι στο μέλλον η Uber προστατεύει τις προσωπικές πληροφορίες των Αυστραλών σύμφωνα με τον Νόμο περί απορρήτου. Το ζήτημα εγείρει επίσης περίπλοκα ζητήματα σχετικά με την εφαρμογή του νόμου περί απορρήτου σε εταιρείες με έδρα το εξωτερικό που αναθέτουν σε τρίτους τον χειρισμό προσωπικών πληροφοριών Αυστραλών σε άλλες εταιρείες του εταιρικού τους ομίλου.
Η OAIC διέταξε την Uber και τις θυγατρικές της να 1) προετοιμάσουν, εφαρμόσουν και διατηρήσουν μια πολιτική διατήρησης και καταστροφής δεδομένων, ένα πρόγραμμα ασφάλειας πληροφοριών και ένα σχέδιο απόκρισης σε συμβάντα που θα διασφαλίσει τη συμμόρφωση με τους αυστραλιανούς νόμους περί απορρήτου, καθώς και 2) να ορίσουν έναν ανεξάρτητο εμπειρογνώμονα για να αναθεωρήσει και να υποβάλει έκθεση σχετικά με αυτές τις πολιτικές και προγράμματα και την εφαρμογή τους, να υποβάλει εκθέσεις στην OAIC να κάνει τις απαραίτητες αλλαγές που συνιστώνται στις εκθέσεις.
