官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
滴滴之后,Uber再度陷入数据安全风波。
网安的舆论漩涡的中心依旧是数据安全,这一点从近期种种合规行动中可见一斑。其中,出行行业由于其涉及庞大的用户数据、地图数据,成为数据安全的又一焦点聚集地。
回到今天的主主角,Uber。由于一件数据泄露“陈年旧案”,Uber第四次遭到了安全控告。
出行行业再陷风波,Uber被控违反隐私法
7月23日,澳大利亚信息专员办公室(Australian Information Commissioner,OAIC)发布了一份关于其对Uber 2016年极具争议的违规事件的调查报告,确认Uber侵犯了超百万澳大利亚人的隐私。
2016年,有黑客成功入侵Uber数据库并窃取5700万全球用户和司机的数据。泄露的数据包括Uber客户的姓名、电子邮件地址和电话号码,以及 700 万司机的个人信息和 60 万个驾照号码。
然而,Uber并未第一时间通知那些数据泄露的受害者,反而支付价值10万美元的比特币给黑客作为“封口费”。
2017年底,该数据泄露事件才被曝光。
同年12月,Uber向OAIC报告该事件。
针对上述事件,OAIC表示,Uber的违规行为包括:没有采取合理措施保护个人信息免受未经授权的访问,也未删除或去识别化那些不再需要的基于特定目的的个人信息。不过,由于暂时没有受害人对Uber此次数据泄露事件进行投诉,因此无权要求Uber进行罚款赔偿。
虽然暂不需要针对受害用户进行赔偿,但是Uber还是被要求建立一项信息安全计划,并设专人负责。该计划需有能力识别澳大利亚用户信息面临的安全性、完整性风险,比如信息丢失、被未经授权访问等。它还要求对员工进行培训。
Uber对此在一份声明中说:表示它们已经进行了技术更新,包括为其核心乘车业务信息系统获得ISO 27001认证,以及更新了其内部安全政策,并将与第三方评估机构合作,实施进一步的改变。
"对2016年数据事件的这一决议。我们将从错误中学习,并重申我们的承诺,继续赢得用户的信任"。
数据流动引起多方面制裁
值得关注的是,Uber早在2018年就因该事件受到了来自美国、英国和荷兰的处罚。
在美国,Uber与50个州和哥伦比亚特区的总检察长达成了1.48亿美元的和解,并且承诺之后的数据处理将更加透明。
在英国,Uber被罚款385,000英镑(约529,000美元)。并且,荷兰的数据保护机构也对Uber罚款60万欧元(约70.7万美元),因为它没有在72小时内对此事件进行报告。
Uber“四处受罚”的原因是由于其全球性的结构。在不同的当地法律下,其所触犯的法规、所遭受的处罚也不相同。
因此,在OAIC控告其违反澳大利亚《隐私法》时,Uber曾辩称,它并不受该法的约束,因为它已将澳大利亚人的个人信息转移到美国。
然而,现公布的报告让Uber认清了澳大利亚《隐私法》要求:当澳大利亚人向一家公司提供个人信息时,他们会受到《隐私法》的保护,即使这些信息在公司集团内被转移到海外。
Uber在美国遭受处罚
如今,数据已经成为全球最为关注的技术相关要素之一,其重要性也在个人、企业、政府等各方面所体现。我们享受数据带来的便利太久,却还未对其背后的安全风险有足够的重视。即便《数据安全法》将于今年9月开始施行,不少企业对于数据安全的概念仍旧停留在如何通过审查,而不是如何保护数据。更何况,光有企业的努力是远远不够的,个人的数据安全意识也有待提升。
此外,出海企业拥有特殊的全球性结构,其数据流动需根据其流动范围,基于当地的数据相关法律并采取相关措施,确保出海数据的安全能够得到保障。避免像Uber一样,面临多地的处罚。