Власти Великобритании и Голландии оштрафовали европейский Uber на $1.2 млн. за утечку персональных данных 7 миллионов водителей и 57 миллионов пассажиров, произошедшую в 2016 году. В том числе была похищена информация о 2.7 млн. пассажиров и 82 тыс. водителях из Великобритании и 174 тыс. граждан Голландии. Для сравнения в США Uber согласились выплатить $148 млн. за досудебное урегулирование.

Скомпрометированная информация содержала имена, адреса электронной почты и номера телефонов, а также 600 тыс. номеров американских водительских удостоверений.

Напомню, что в октябре 2016 года Uber заплатили злоумышленнику, которым оказался 20-ти летний американец, $100 тыс. за то, чтобы он удалил данные, и не афишировал факт кражи персональных данных.

Широкой публике об этом инциденте стало известно 21 ноября 2017 года, когда новый глава Uber Дара Хосровшахи сделал заявление. Он сообщил, что взлома внутренней IT-системы компании не было. По его словам, компания использует сторонний облачный сервис хранения данных, на котором была размещена украденная информация и к которому и получил доступ вымогатель.

В данном конкретном случае речь идет сразу о двух облачных сервисах: GitHub и Amazon Web Services (AWS). GitHub это крупнейший сервис для совместной разработки и хранения исходных кодов, куда разработчики Uber сохранили ключи доступа к учетной записи компании в AWS. Поскольку репозитарий исходных кодов открытый, кто угодно мог заполучить информацию для доступа к данным Uber, хранящимся в облаке Amazon. Получив доступ к AWS, при помощи ключа из GitHub, злоумышленник скачал оттуда 16 файлов с персональными данными. Про предотвращение утечек данных на GitHub мы писали отдельную статью на Хабре.

Следует отметить, что данные штрафы властей Великобритании и Голландии были наложены еще до вступления в силу General Data Protection Regulation (GDPR).

Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.