dinsdag 27 november 2018, 10:33 door Redactie, 2 reacties

Laatst bijgewerkt: 27-11-2018, 13:36

De Autoriteit Persoonsgegevens heeft Uber een boete van 600.000 euro opgelegd voor het te laat melden van een datalek in 2016. De Britse privacytoezichthouder legde vanwege hetzelfde incident een boete van omgerekend 433.000 euro op.

In november 2016 ontdekte Uber dat aanvallers toegang tot chauffeur- en klantgegevens hadden gekregen die bij Amazon Web Services waren opgeslagen. Dit was mogelijk door een toegangssleutel die een Uber-engineer op GitHub had geplaatst. Op de Amazon-cloudserver werden onversleutelde bestanden met de e-mailadressen, namen en telefoonnummers van tientallen miljoenen klanten en honderdduizenden chauffeurs door de aanvallers gedownload.

De aanvallers stuurden Uber vervolgens een e-mail waarin ze om geld vroegen. Uber betaalde de aanvallers 100.000 dollar om de data te verwijderen en besloot het datalek te verzwijgen, tot het bedrijf het incident in november 2017 zelf bekendmaakte. Het ging om de gegevens van 50 miljoen Uber-klanten, alsmede de data van 7 miljoen chauffeurs. Ook de gegevens van 174.000 Nederlanders werden gestolen.

“De melding aan de AP heeft eerst plaatsgevonden op 21 november 2017. Op diezelfde dag heeft Uber een nieuwsbericht over het datalek op haar website gepubliceerd. Daarmee zijn de AP en betrokkenen niet onverwijld van het datalek in kennis gesteld”, zo laat de toezichthouder in het boetebesluit weten. Het bedrijf had de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van het datalek moeten inlichten. Hierdoor heeft Uber de meldplicht datalekken overtreden. Uber kan nog wel tegen de boete in beroep gaan.

Groot-Brittannië en VS

De Britse privacytoezichthouder ICO legde Uber vanwege het datalek een boete van omgerekend 433.000 euro op. Het bedrijf had onvoldoende technische en organisatorische maatregelen genomen om het onrechtmatig verwerken van gegevens en het lekken van persoonlijke data te voorkomen en was daarmee in overtreding van de Britse privacywetgeving uit 1998. De ICO hekelde ook het feit dat klanten en chauffeurs niet werden ingelicht.

In september trof Uber in de Verenigde Staten nog een schikking van 148 miljoen dollar wegens het datalek. Als onderdeel van deze schikking moet het bedrijf ook een meldplicht voor datalekken implementeren en beveiligingsmaatregelen doorvoeren. Verder moet er een integriteitsprogramma komen zodat medewerkers onethisch gedrag kunnen melden.

Update

Uber laat in een reactie aan Security.nl weten dat het niet tegen de boete in beroep gaat. “We zijn blij dat we het hoofdstuk van het data incident uit 2016 kunnen afsluiten”, aldus een woordvoerder.

Image