Компания Uber продолжает нести убытки из-за скандала двухлетней давности. Вслед за американскими властями, которые ранее оштрафовали сервис на $148 млн, о своих претензиях заявили регуляторы Великобритании и Нидерландов.

Как сообщили в Управлении комиссара по информации (Information Commissioner’s Office), в руки взломщиков попала персональная информация 2,7 млн британских пользователей: имена, контактные и геолокационные данные. Кроме того, пострадали 82 тыс. зарегистрированных в Uber водителей. Преступники получили сводки о поездках, размеры еженедельных заработков, а как минимум в двух случаях — номера водительских прав.

Регулятор ссылается на Акт о защите информации от 1998 года, утверждая, что руководство Uber не приняло должные организационно-технические меры для защиты вверенных персональных данных. В вину компании вменяется и то, что преступники смогли подобрать пароль к облачному хранилищу, и последовавший платеж взломщикам в $100 тыс., который Uber провела через свою программу bug bounty.

Все это будет стоить сервису 385 тыс. фунтов стерлингов (чуть больше $490 тыс.). Если компания не будет подавать апелляцию и успеет заплатить до 2 января 2019 года, эта сумма уменьшится на 20% — до 308 тыс. фунтов стерлингов ($393 тыс.). В мотивировочной части чиновники перечислили некоторые смягчающие обстоятельства, например тот факт, что преступники не добрались до платежных данных и в целом не применили украденную информацию для мошенничества. С другой стороны, Uber не уведомила регуляторов и пострадавших лиц о взломе — это послужило отягчающим обстоятельством.

В свою очередь нидерландское Ведомство по защите данных (Autoriteit Persoonsgegevens) оштрафовало Uber на €600 тыс. ($677 тыс.). Как следует из официального заявления, от утечки пострадали 174 тыс. голландских граждан — как пассажиров, так и водителей. Под угрозу попали их имена, электронные адреса и номера телефонов.

Комментаторы отмечают разницу в оценке персональных данных граждан двух европейских государств. Британский штраф в пересчете на одного пользователя составил 17 центов, голландский — $3,89.

Стоит заметить, что Европейский акт о защите персональных данных (GDPR) предусматривает гораздо более серьезное наказание за подобные инциденты — до 4% годового оборота компании-виновника. Однако новый регламент вступил в силу только в мае 2018 года, поэтому власти опирались в расчетах на старые нормы. В частности, британский регулятор не мог назначить штраф более 500 тыс. фунтов стерлингов ($638 тыс.).

Скандалы с утечками и махинациями с персональными данными преследуют Uber уже несколько лет. В 2015 году сервис признал слив информации своих водителей из-за проблем с протоколами доступа к корпоративным базам. Через полтора года студент-энтузиаст обнаружил уязвимости внутреннего портала компании, которые угрожали личным данным клиентов. В марте 2017-го Uber обвинили в слежке за полицейскими и чиновниками — руководители сервиса организовали ее, чтобы помешать расследованиям их деятельности на некоторых рынках.

Категории: Кибероборона