Comment la violation de données d’Uber en 2016 a pris une mauvaise tournure

  • FrançaisFrançais



  • Les erreurs sont inévitables, mais les actes intentionnels peuvent avoir de graves répercussions. La négligence d’Uber à cacher une violation de données a conduit l’agrégateur de taxis sur plusieurs mauvaises routes. Le bureau du commissaire australien à l’information (OAIC) ​​a récemment révélé ses conclusions sur la violation de données Uber 2016. L’organisme de surveillance de la vie privée a déclaré qu’Uber s’était mêlé de la confidentialité des données des utilisateurs, risquant ainsi les données d’environ 1,2 million d’Australiens en 2016.

    Dans une déclaration officielle, Angelene Falk, commissaire australienne à l’information et à la protection de la vie privée, a déclaré que la société américaine Uber Technologies Inc. et la société néerlandaise Uber BV n’avaient pas réussi à protéger les informations personnelles de ses clients et chauffeurs australiens lorsque les attaquants auraient accédé aux données des utilisateurs. en octobre et novembre 2016.

    Uber a demandé aux attaquants de détruire les données volées pour s’assurer qu’il n’y avait aucun signe de violation de données. Cependant, l’enquête de l’OAIC a révélé qu’Uber n’avait pris aucune mesure de sécurité pour protéger les informations personnelles des Australiens et violait la loi sur la protection de la vie privée de 1988.

    «Le commissaire Falk a découvert que les sociétés Uber avaient enfreint la loi sur la protection de la vie privée de 1988 en ne prenant pas de mesures raisonnables pour protéger les informations personnelles des Australiens contre tout accès non autorisé et pour détruire ou anonymiser les données si nécessaire. Ils n’ont pas non plus pris de mesures raisonnables pour mettre en œuvre des pratiques, des procédures et des systèmes garantissant le respect des principes australiens de confidentialité », a déclaré l’OAIC.

    Dé-identification de la violation

    En 2016, Uber a subi une violation de données qui a compromis les données personnelles du réseau de l’entreprise, y compris les noms et les informations de permis de conduire de 600 000 conducteurs, les identifiants de messagerie et les numéros de téléphone de 57 millions d’utilisateurs Uber. Au lieu de signaler l’incident de sécurité, Uber aurait payé les attaquants, Gantier et Mereacre, 100 000 $ de rançon pour garder le piratage secret. En octobre 2019, les deux auteurs ont plaidé coupables pour leur stratagème d’extorsion. Uber a été pénalisé en millions par plusieurs régulateurs de la confidentialité des données pour ne pas avoir divulgué la faille de sécurité avant novembre 2017.

    Falk a allégué qu’Uber avait ignoré l’incident de sécurité en n’effectuant aucun audit de sécurité sur les informations personnelles des utilisateurs auxquelles les attaquants avaient accédé illégalement. Alors que Falk a affirmé que les données des Australiens avaient été transférées vers des serveurs situés aux États-Unis via une configuration d’externalisation, la société américaine Uber Technologies Inc. a fait valoir qu’elle n’était pas soumise à la loi sur la protection de la vie privée.

    «Nous devons nous assurer qu’à l’avenir, Uber protège les informations personnelles des Australiens conformément à la loi sur la protection de la vie privée. L’affaire soulève également des problèmes complexes autour de l’application de la loi sur la protection de la vie privée aux entreprises basées à l’étranger qui sous-traitent le traitement des informations personnelles des Australiens à d’autres entreprises au sein de leur groupe d’entreprises », a déclaré Falk.

    Qu’est-ce qu’Uber est tenu de faire ?

    Le commissaire Falk a ordonné aux sociétés Uber de tous les sites de :

    • Maintenir la politique de conservation et de destruction des données
    • Activer un programme de sécurité de l’information et un plan de réponse aux incidents pour se conformer aux principes australiens de confidentialité
    • Nommer un expert indépendant en cybersécurité pour examiner et faire rapport sur ces politiques et programmes et leur mise en œuvre
    • Soumettre régulièrement les rapports d’audit de sécurité à l’OAIC

    « Cette détermination clarifie mon point de vue sur les responsabilités des entreprises mondiales en vertu de la loi australienne sur la protection de la vie privée. Les Australiens ont besoin de l’assurance qu’ils sont protégés par la loi sur la protection de la vie privée lorsqu’ils fournissent des informations personnelles à une entreprise, même si elles sont transférées à l’étranger au sein du groupe d’entreprises », a ajouté Falk.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *