Власти Великобритании и Голландии оштрафовали европейский Uber на $1.2 млн. за утечку персональных данных 7 миллионов водителей и 57 миллионов пассажиров, произошедшую в 2016 году. В том числе была похищена информация о 2.7 млн. пассажиров и 82 тыс. водителях из Великобритании и 174 тыс. граждан Голландии. Для сравнения в США Uber согласились выплатить $148 млн. за досудебное урегулирование.



Скомпрометированная информация содержала имена, адреса электронной почты и номера телефонов, а также 600 тыс. номеров американских водительских удостоверений.


Напомню, что в октябре 2016 года Uber заплатили злоумышленнику, которым оказался 20-ти летний американец, $100 тыс. за то, чтобы он удалил данные, и не афишировал факт кражи персональных данных.


Широкой публике об этом инциденте стало известно 21 ноября 2017 года, когда новый глава Uber Дара Хосровшахи сделал заявление. Он сообщил, что взлома внутренней IT-системы компании не было. По его словам, компания использует сторонний облачный сервис хранения данных, на котором была размещена украденная информация и к которому и получил доступ вымогатель.


В данном конкретном случае речь идет сразу о двух облачных сервисах: GitHub и Amazon Web Services (AWS). GitHub это крупнейший сервис для совместной разработки и хранения исходных кодов, куда разработчики Uber сохранили ключи доступа к учетной записи компании в AWS. Поскольку репозитарий исходных кодов открытый, кто угодно мог заполучить информацию для доступа к данным Uber, хранящимся в облаке Amazon. Получив доступ к AWS, при помощи ключа из GitHub, злоумышленник скачал оттуда 16 файлов с персональными данными. Про предотвращение утечек данных на GitHub мы писали отдельную статью на Хабре.


Следует отметить, что данные штрафы властей Великобритании и Голландии были наложены еще до вступления в силу General Data Protection Regulation (GDPR).


Регулярные новости про отдельные случаи утечек данных, оперативно публикуются на канале Утечки информации.

Комментарии (4)


  1. berezuev
    28.11.2018 09:46

    Грубо говоря, власти оценили 1 человека в 40 центов.
    Всегда было интересно, почему за такие серьезные косяки компании платят такие (по их масштабам) копейки?


  1. GLeBaTi
    28.11.2018 16:02

    Поскольку репозитарий исходных кодов открытый, кто угодно мог заполучить информацию для доступа к данным Uber, хранящимся в облаке Amazon.
    Я правильно понял, что разработчики Uber выложили свой код с паролями в публичный репозиторий? Это победа конечно…


    1. ashotog Автор
      28.11.2018 16:16

      да. если бы только они так делали…


  1. Ronald_Riley
    29.11.2018 11:44

    Голландия Северная или Южная?
    Называть Нидерланды «Голландия» это примерно так же, как называть Россию «Владимирская область» или «Воронежская область»
    Южная и Северная Голландии — части Королевства Нидерланды, так же, как Владимирская область — часть Российской Федерации.