Después de más de 2 años de que se filtraran los datos personales de más de 57 millones de usuarios y conductores, la Oficina de Protección de datos en Europa, multó a Uber con sumas que superan el millón de euros.
Uber se enteró del incidente un mes después de que sucedió cuando los hackers hicieron contacto y exigieron $ 100,000 para revelar cómo obtuvieron la información; También dijeron que destruirían la información en el momento en que les pagaran.
La compañía enmascaró el pago de la extorsión, como un pago de Recompensa del programa BugBounty, revelando detalladamente y públicamente el error que ocurrió e informando a todas las personas afectadas de que los hackers habían accedido a su información personal.
Hoy, la Oficina del Comisionado de Información del Reino Unido (ICO) y su correspondiente autoridad de protección de datos en los Países Bajos (Autoriteit Persoonsgegevens), anunciaron su decisión de multar a Uber por el compromiso de los datos en octubre de 2016. Las sanciones son de £ 385,000 y € 600,000, respectivamente.
Según ICO, el hack afectó a unos 2,7 millones de usuarios de Uber en el Reino Unido. A esto, se agregan registros de casi 82,000 conductores, que incluyen detalles sobre los viajes y el pago recibido. Por su parte, la Autoridad de Protección de Datos de Holanda (DPA) informa que el incumplimiento filtró detalles de 174,000 ciudadanos holandeses.
La demora de un año en informar el incidente a las partes afectadas es la razón principal de las multas. Las regulaciones previas a la GDPR de ICO y la DPA holandesa exigían que tal violación de datos se anunciara en un plazo de 72 horas desde que la compañía se dio cuenta.
Los atacantes pudieron robar los datos al obtener acceso no autorizado a los depósitos del Servicio de almacenamiento simple (S3) de Uber desde los Servicios web de Amazon y descargaron un total de 16 archivos.
Como resultado de sus investigaciones, el ICO del Reino Unido cree que los hackers obtuvieron las credenciales de acceso S3 de un repositorio privado de GitHub que pertenece a Uber US. Se conectaron a la cuenta de GitHub con un nombre de usuario y una contraseña recopilados a partir de una violación de datos anterior. El método se llama 'relleno de credenciales' y explota la mala práctica de reciclar la misma contraseña para otras cuentas en línea.
