英國信息專員辦公室(Information Commissioner's Office�,ICO)宣布對優(yōu)步在歐洲的業(yè)務(wù)處以38.5萬英鎊的罰款�����,因為優(yōu)步在2016年遭到黑客攻擊��,300萬英國用戶的數(shù)據(jù)被泄露����。
2016年11月�,攻擊者入侵優(yōu)步云服務(wù)器,下載了16個大型文件�,其中包括全球3500萬用戶的資料,比如乘客的全名��、電話號碼�、電郵地址和他們注冊該服務(wù)的地點。
還有370萬優(yōu)步司機也受到影響�,其中8.2萬來自英國,他們的周薪�����、行程摘要, 甚至有些司機的駕駛執(zhí)照號碼都被泄露�。
ICO表示,造成黑客入侵的原因是優(yōu)步的信息安全工作存在問題����,而優(yōu)步美國公司不僅沒有披露此次攻擊事件,還滿足了黑客的要求�,向黑客支付了10萬美元作為“漏洞賞金”。這種賞金在安全領(lǐng)域很常見:如果你在一家公司的系統(tǒng)缺陷受到攻擊之前����,發(fā)現(xiàn)了他們的安全漏洞,并通知了這家公司�,公司會獎勵你。
ICO寫道:“優(yōu)步美國公司沒有遵循其漏洞獎勵計劃的正常流程����。在這起事件中,從優(yōu)步美國公司拿到錢的外部攻擊者���,與合法的漏洞賞金領(lǐng)取者存在本質(zhì)區(qū)別:后者會負責(zé)任地披露漏洞����,而前者惡意利用該漏洞��,獲取了優(yōu)步用戶的個人信息。”
ICO表示��,優(yōu)步?jīng)]有告訴任何用戶他們的數(shù)據(jù)被泄露了����。直到攻擊發(fā)生12個月后,該公司才開始對賬戶欺詐行為進行監(jiān)控����。
不過,優(yōu)步遭到了從輕處罰����,一是因為優(yōu)步在歐洲的分公司也沒有被告知此事,所以無法把此事報告給ICO�,二是因為沒有證據(jù)表明被泄露的數(shù)據(jù)遭到了濫用。
今年9月��,在美國�,優(yōu)步美國公司因為沒有向司機通報數(shù)據(jù)泄露事件,被處以罰款1.48億美元���。
優(yōu)步在一份聲明中表示:“我們很高興給2016年的這起事件畫上句號�����。在歐洲機構(gòu)進行調(diào)查期間�����,我們已經(jīng)表明����,在入侵事件發(fā)生后�,我們持續(xù)對優(yōu)步系統(tǒng)的安全性進行了技術(shù)上的改進。我們還對領(lǐng)導(dǎo)層進行了重大調(diào)整�,以確保為監(jiān)管機構(gòu)和用戶提供適當(dāng)?shù)耐该鞫取=衲暝缧⿻r候��,我們聘請了公司的第一位首席隱私官���、數(shù)據(jù)保護官�,和一位新的首席信任安全官�����。我們從錯誤中吸取了教訓(xùn)����,繼續(xù)為贏得用戶的信任而努力����。”
由于事情發(fā)生在2016年�,所以英國是根據(jù)1998年《數(shù)據(jù)保護法》對優(yōu)步處以罰款的,其中規(guī)定罰款最高金額為50萬英鎊��。而根據(jù)2018年《一般數(shù)據(jù)保護法案》�,優(yōu)步會被處以遠遠更高的罰款,最高可達優(yōu)步全球營收的4%���。
鄂公網(wǎng)安備 42112402000149號