滴滴之后,Uber陷入数据安全风波 - FreeBuf网络安全行业门户

滴滴之后,Uber再度陷入数据安全风波。

网安的舆论漩涡的中心依旧是数据安全,这一点从近期种种合规行动中可见一斑。其中,出行行业由于其涉及庞大的用户数据、地图数据,成为数据安全的又一焦点聚集地。

回到今天的主主角,Uber。由于一件数据泄露“陈年旧案”,Uber第四次遭到了安全控告。

出行行业再陷风波,Uber被控违反隐私法

7月23日,澳大利亚信息专员办公室(Australian Information Commissioner,OAIC)发布了一份关于其对Uber 2016年极具争议的违规事件的调查报告,确认Uber侵犯了超百万澳大利亚人的隐私。

2016年,有黑客成功入侵Uber数据库并窃取5700万全球用户和司机的数据。泄露的数据包括Uber客户的姓名、电子邮件地址和电话号码,以及 700 万司机的个人信息和 60 万个驾照号码。

然而,Uber并未第一时间通知那些数据泄露的受害者,反而支付价值10万美元的比特币给黑客作为“封口费”。

2017年底,该数据泄露事件才被曝光。

同年12月,Uber向OAIC报告该事件。

针对上述事件,OAIC表示,Uber的违规行为包括:没有采取合理措施保护个人信息免受未经授权的访问,也未删除或去识别化那些不再需要的基于特定目的的个人信息。不过,由于暂时没有受害人对Uber此次数据泄露事件进行投诉,因此无权要求Uber进行罚款赔偿。

虽然暂不需要针对受害用户进行赔偿,但是Uber还是被要求建立一项信息安全计划,并设专人负责。该计划需有能力识别澳大利亚用户信息面临的安全性、完整性风险,比如信息丢失、被未经授权访问等。它还要求对员工进行培训。

Uber对此在一份声明中说:表示它们已经进行了技术更新,包括为其核心乘车业务信息系统获得ISO 27001认证,以及更新了其内部安全政策,并将与第三方评估机构合作,实施进一步的改变。

"对2016年数据事件的这一决议。我们将从错误中学习,并重申我们的承诺,继续赢得用户的信任"。

数据流动引起多方面制裁

值得关注的是,Uber早在2018年就因该事件受到了来自美国、英国和荷兰的处罚。

在美国,Uber与50个州和哥伦比亚特区的总检察长达成了1.48亿美元的和解,并且承诺之后的数据处理将更加透明。

在英国,Uber被罚款385,000英镑(约529,000美元)。并且,荷兰的数据保护机构也对Uber罚款60万欧元(约70.7万美元),因为它没有在72小时内对此事件进行报告。

Uber“四处受罚”的原因是由于其全球性的结构。在不同的当地法律下,其所触犯的法规、所遭受的处罚也不相同。

因此,在OAIC控告其违反澳大利亚《隐私法》时,Uber曾辩称,它并不受该法的约束,因为它已将澳大利亚人的个人信息转移到美国。

然而,现公布的报告让Uber认清了澳大利亚《隐私法》要求:当澳大利亚人向一家公司提供个人信息时,他们会受到《隐私法》的保护,即使这些信息在公司集团内被转移到海外。

Uber在美国遭受处罚

如今,数据已经成为全球最为关注的技术相关要素之一,其重要性也在个人、企业、政府等各方面所体现。我们享受数据带来的便利太久,却还未对其背后的安全风险有足够的重视。即便《数据安全法》将于今年9月开始施行,不少企业对于数据安全的概念仍旧停留在如何通过审查,而不是如何保护数据。更何况,光有企业的努力是远远不够的,个人的数据安全意识也有待提升。

此外,出海企业拥有特殊的全球性结构,其数据流动需根据其流动范围,基于当地的数据相关法律并采取相关措施,确保出海数据的安全能够得到保障。避免像Uber一样,面临多地的处罚。

参考

inforisktoday

sohu

FreeBuf

本文来源于: https://www.freebuf.com/news/282328.html

相关推荐

CVE-2021-22555 linux内核提权 - 安全客,安全资讯平台

robots 该漏洞作者Andy Nguyen (theflow@) ,writeup已经公开。 简单概述 主要是在xt_compat_target_from_user()中有溢出,经过特殊构造产生uaf, 具体exp中,使用了struct

加密固件之依据老固件进行解密

作者:OneShell@知道创宇404实验室 时间:2021年7月27日 IoT漏洞分析最为重要的环节之一就是获取固件以及固件中的文件系统。固件获取的方式也五花八门,硬核派有直接将flash拆下来到编程器读取,通过硬件调试器UART/SPI

如何使用FalconEye实时检测Windows进程注入行为 - FreeBuf网络安全行业门户

关于FalconEye FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye

梨子带你刷burpsuite靶场系列之服务器端漏洞篇 - 服务端请求伪造(SSRF)专题 - 安全客,安全资讯平台

robots 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者

Tomcat渗透测试方法总结 - FreeBuf网络安全行业门户

前言 Tomcat服务器是一个免费的开放源代码的web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。可以这样认为,当在一台机器上配置好 Apache服务器,可利用它响应

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

360CERT - 每日安全简报 (2021-07-27)

We are greeting further cooperation with all parts of security services. If you are interested or have other technical q

Apple任意代码执行漏洞通告 - 360CERT

报告编号:B6-2021-072701 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-27 0x01   漏洞简述 2021年07月27日,360CERT监测发现Apple发布了macOS、iOS、iPadO

Windows MS-EFSRPC协议Ntlm Relay攻击通告 - 360CERT

报告编号:B6-2021-072702 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-29 0x01   漏洞简述 2021年07月27日,360CERT监测发现Microsoft发布了缓解Windows域内

Are crypto transactions safe?

Over the past several years, crypto has become incredibly popular. Banks, social media giants, universities, and even go