Uber violó la privacidad de 57 millones de usuarios

En 2017, Uber informó a la Oficina del Comisionado de Información de Australia (OAIC) una violación de sus 57 millones de usuarios globales, además de los datos personales de los conductores, que son aproximadamente 1,2 millones. Este pasado viernes, la OAIC determinó que Uber había violado la Ley de Privacidad de Australia al no tomar medidas razonables para proteger la información personal de Australia del acceso no autorizado.

A pesar de la violación y la decisión de Uber de no notificar individualmente a los afectados o denunciar el ataque hasta 2017, no se ha impuesto ninguna multa; mientras que otras jurisdicciones impusieron grandes multas por el incumplimiento, como por ejemplo EE.UU. que multo a Uber con 148 millones de dólares, o el Reino Unido que impuso una sanción de 385.000 libras.

En lugar de una multa, la OAIC ordenó a Uber que elabore un plan de respuesta a la filtración de datos, un programa de seguridad de la información y políticas y procedimientos de retención y destrucción de datos. Hay una supervisión independiente de estos pasos que es una medida popular en la OAIC.

Es interesante ver que Australia no impuso una multa económica a pesar del tamaño de la infracción y el actor de la industria global involucrado.

Desde la determinación, se informó que Uber obtuvo la certificación ISO 27001 y actualizó sus políticas y procedimientos de seguridad.

Tras la serie de ataques de ransomware recientemente, también cabe destacar que Uber decidió pagar a sus atacantes 100.000 dólares en ese momento para eliminar los datos robados de sus usuarios.

Proyecto de Ley de Pagos de Ransomware

Tal vez como sugiere el Proyecto de Ley de Pagos de Ransomware, la notificación obligatoria de ataques de ransomware sería útil para monitorear mejor este tipo de infracciones en Australia, pero nos preguntamos si en una compañía global tal pago habría caído en el alcance regulatorio australiano a menos que la subsidiaria australiana hubiera hecho el pago.

El Ministro Asistente en la Sombra de Seguridad Cibernética presentó el Proyecto de Ley de Pagos de Ransomware del miembro privado, como Proyecto de Ley, para hacer obligatorio que todas las empresas y agencias gubernamentales australianas notifiquen al Centro Australiano de Seguridad Cibernética (ACSC) antes de pagar un rescate a un atacante de ransomware. Si no se notifica, se le impondrá una penalización de 181.740 dólares.

Uber violó la privacidad de 57 millones de usuarios