+7 495 229-00-22

Государство будет следить за Uber 20 лет

Август 17, 2017

Компания Uber, разработчик одноименного мобильного приложения для вызова такси не обеспечила должную защиту данных своих водителей после нарушения, которое повлекло компрометацию более 100 тыс. записей. Uber удалось избежать штрафа, но теперь компания в течение 20 лет должна будет проходить регулярные аудиты безопасности, сообщает Forbes.

Федеральная торговая комиссия (FTC) США не удовлетворена качеством системы безопасности Uber. Регулятор считает, что популярный сервис такси должным образом не укрепил защиту информации после массовой компрометации, которая три года назад. В феврале 2015 г. Uber признался, что в сентябре 2014 г. была обнаружена потенциальная уязвимость в базе данных – один из ключе й шифрования оказался скомпрометирован. В ходе внутреннего расследования выяснилось, что 13 мая 2014 г. к базе обращались неизвестные лица. Тогда компания сообщила, что в базе были имена, фамилии и номера лицензий примерно 50 тыс. бывших и нынешних водителей.

Оказалось, что масштаб компрометации персональных данных существенно выше. «Злоумышленник имел доступ к одному из файлов, который содержал чувствительную личную информацию водителей Uber, в том числе более 100 тыс. незашифрованных имен и номеров водительских лицензий», - говорится в заключении FTC. Кроме того, файл содержал 215 номеров банковских счетов и банковских кодов, а также 84 номера социального страхования (SSN).

Как определила FTC, утечка произошла после того, как хакеру удалось  найти данные водителей на облачном сервере Amazon. Ключ к серверу в начале 2014 г. инженер Uber разместил на ресурсе GitHub в режиме совместного доступа. Это и открыло третьим лицам путь к базам сервиса такси. В начале 2016 г. по делу о данном нарушении в суде Нью-Йорка Uber согласилась выплатить штраф в размере $20 тыс.

FTC также обвиняет Uber в том, что она не смогла обеспечить требуемый контроль доступа к личным данным пользователей. Еще в 2014 г. выяснилось, что сотрудники компании использовали программу God View для отслеживания местонахождения своих клиентов. Судя по всему, Uber шпионила и за конкурентами, применяя специальный инструмент Hell.

 «Uber обманула ожидания пользователей дважды: во-первых, искажая степень контроля доступа своих сотрудников к личной информации водителей и клиентов, а во-вторых, уверяя в том, что для защиты этой информации были приняты адекватные меры, - подчеркнула председатель FTC Морин Ольхаузен. - Этот случай показывает, что даже если вы быстрорастущая компания, вы не можете оставлять потребителей: вы должны соблюдать ваши обязательства в отношении конфиденциальности и безопасности хранения данных».