Code promo Uber

Uber condamné à une amende de 1,1 million de dollars par les régulateurs britanniques et néerlandais pour la violation de données 2016

01 décembre 2018

Les autorités de contrôle britanniques et néerlandaises en matière de protection des données ont infligé mardi à la société de covoiturage Uber une amende totale de 1 170 892 dollars (environ 1,1 million d'euros) pour avoir omis de protéger les informations personnelles de ses clients lors d'une cyberattaque impliquant des millions d'utilisateurs en 2016.

À la fin de l’année dernière, Uber a révélé que la société avait subi une grave violation de données en octobre 2016, révélant ainsi les noms, adresses e-mail et numéros de téléphone de 57 millions de conducteurs et chauffeurs Uber, ainsi que le nombre de permis de conduire d'environ 600 000 conducteurs.

En outre, il a également été signalé qu'au lieu de divulguer l'infraction à l'époque, la société avait versé une rançon de 100 000 dollars aux deux pirates informatiques ayant accès aux données volées en échange de la confidentialité de l'incident et de la suppression des informations.

Le bureau du commissaire britannique à l'information a condamné Uber à une amende de 385 000 livres (491 102 dollars), tandis que l'autorité néerlandaise de la protection des données (DPA néerlandaise) a imposé une amende de 600 000 euros à Uber pour avoir omis de protéger les informations personnelles de ses 3 millions de Britanniques et de 174 000 Citoyens néerlandais, respectivement.

«En 2016, une violation de données s'est produite au sein de l'entreprise Uber sous la forme d'un accès non autorisé à des données personnelles de clients et de conducteurs. La société Uber se voit infliger une amende parce qu'elle n'a pas signalé la violation de données à la DPA néerlandaise et aux personnes concernées dans les 72 heures suivant la découverte de la faille », a déclaré la DPA néerlandaise.

L’ICO a également confirmé que les pirates pouvaient compromettre le système de stockage basé sur le nuage d’Uber en utilisant une attaque par bourrage - «un processus par lequel des paires de noms d’utilisateur et de mots de passe compromis sont injectées dans des sites Web jusqu’à ce qu’ils soient mis en correspondance avec un compte existant» - une faille qui aurait pu été «évité».

“Uber US n'a pas suivi le fonctionnement normal de son programme de primes de bogues. Dans cet incident, Uber US a payé des attaquants extérieurs qui étaient fondamentalement différents des destinataires de primes de bogues légitimes: au lieu d'identifier simplement une vulnérabilité et de la divulguer de manière responsable, ils l'ont exploitée de manière malveillante et ont acquis de manière intentionnelle des informations personnelles concernant les utilisateurs d'Uber », indique l'OIC.

L'organe de surveillance britannique a également déclaré qu'aucun des clients concernés compromis par l'incident n'avait été informé de la violation. Au lieu de cela, Uber a commencé à surveiller la fraude des comptes des conducteurs et des conducteurs affectés 12 mois après la cyberattaque, lorsque l'incident a été rendu public l'année dernière.

À l'époque, Uber en a informé les autorités de régulation et a offert aux conducteurs concernés une surveillance de crédit gratuite et une protection contre le vol d'identité.

La société a assuré à ses utilisateurs que d'autres informations personnelles, telles que l'historique du lieu du voyage, les numéros de carte de crédit, les numéros de compte bancaire, les numéros de sécurité sociale ou les dates de naissance, n'avaient pas été consultées.

La violation de données ayant eu lieu avant l'entrée en vigueur du règlement général de protection des données (RGPD) de l'UE en mai 2018, l'amende de 385 000 £ infligée en vertu de l'ancien Data Protection Act de 1998 du Royaume-Uni est encore moindre.

La pénalité aurait pu être beaucoup plus lourde si elle était tombée sous le règlement général sur la protection des données (RGPD) de l'UE, en vertu duquel une entreprise pouvait être condamnée à une amende maximale de 17 millions de livres ou à 4% de son chiffre d'affaires global annuel, selon le montant le plus élevé, pour une telle atteinte à la vie privée. .

Le mois dernier, l’organe de surveillance de la protection des données au Royaume-Uni a également imposé une amende de 500 000 £ à Facebook pour avoir permis à la société de conseil politique Cambridge Analytica de collecter et d’utiliser de manière abusive les données de 87 millions d’utilisateurs.

En septembre, l’OIC a également infligé l’amende maximale autorisée de 500 000 £ à l’agence d'évaluation du crédit Equifax pour la violation de données massive qui a eu lieu l'année dernière, exposant les données personnelles et financières de centaines de millions de clients.