Repkednek a büntetési tételek, amelyeket az autómegosztó alkalmazásával világhírűvé vált Uber kap a különböző adatvédelemért felelős nemzeti hatóságoktól. Csak a héten két ilyen ítélet is született, miközben az USA-ban már túl van a vállalat egy nagyon drága megállapodáson. Az sem kizárt, hogy további következményei lesznek a 2016-ra visszanyúló, meglehetősen súlyos adatbiztonsági incidensnek.

Bünti itt, bünti ott

A brit adatvédelmi hivatal (Information Commissioner's Office - ICO) 385 ezer fontos bírságot állapított meg, mert a cég két éve nem tett eleget azért, hogy az ügyfelek adatai megfelelően védve legyenek az elszenvedett kibertámadás ellen. Az ICO holland "rokona" a Dutch Data Protection Authority a nem kívánt előmikulási csomagot 600 ezer euróval toldotta meg a holland adatvédelmi törvények megszegése miatt.

A kérdéses ügyről mi is csak 2017-ben számoltunk be, azon egyszerű ok miatt, hogy az Uber korábbi vezetése simán eltussolta a hekkelést. Erről csak a tavaly kinevezett új vezérigazgató színre lépése után tájékoztatták a nyilvánosságot. Dara Khosrowshahira akkor ezt azzal kommentálta, hogy ugyan a múlt hibáit nem tudja eltörölni, de azon lesz a vállalat, hogy a jövőben ez (is) másképp menjen. Hiába nem tehet semmiről a szennyest kiteregető új vezető, a következményekkel most neki (és a szintén alaposan lecserélődött vezetőségnek) kell megbirkóznia.

Támadás, hallgatás, megvesztegetés

De mi is történt pontosan két évvel ezelőtt? A cég adatbázisából 57 millió ember személyes adatához jutottak hozzá illetéktelenek. A kompromittálódott adatok között sofőrök és utasok információi is voltak, beleértve a neveket, emailcímeket, jogosítványszámokat. Az adatokat egy privát GitHub repositoryból sikerült letöltenie a hekkernek, aki valószínűleg egy mindössze 20 éves amerikai egyetemista.

Ha ennyi lett volna a sztori, már az is igen komoly kérdéseket vethetett volna fel, ám az Uber akkori vezetői ennél sokkal tovább robogtak a lejtőn. Az adatlopásról senkit nem értesítettek, így természetesen azok sem tudhattak semmit, akiknek a személyes adatait a cég hanyagsága miatt illetéktelenek szerezték meg. A zűrös ügyre a koronát azzal tették fel, hogy bugvadászat címén kifizettek a hekkernek 100 ezer dollárt, amiért az cserébe vállalta a megszerzett adatok törlését és a teljes hallgatást.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

Ezek után az már szinte említést sem érdemel, hogy az Ubernek nem ez volt az egyetlen eltussolt biztonsági incidense. 2014-ben egy kibertámadás során 50 ezer korábbi és aktív sofőr adata került veszélybe. Erről a kisebb nagyságrendű ügyről sem számolt be azonnal a cég, hiszen csak nyolc hónappal később hozta nyilvánosságra az ügyet.

Örülhetnek, hogy ennyivel megúszták

A héten meghozott elmarasztalások egyébként szúnyogcsípésnek tűnnek a vállalat ősszel tető alá hozott egyesült államokbeli megállapodásához képest. Az USA ötven állama ugyanis együttesen 148 millió dollárt kap az Ubertől a 2016-os eset miatt. Az európai hatóságok kicsit lassabban dolgoznak, de vélelmezhető, hogy brit és holland állampolgárok mellett más országok lakosai is érintettek lehettek az ügyben, tehát a bírságoknak még nem feltétlen van vége.

Igaz, a cég szempontjából óriási mázli, hogy Európában két éve még az 1998-ban hozott, elavult adatvédelmi rendelkezések voltak érvényben. Ha az idén életbe lépő szigorúbb adatvédelmi szabályozás (GDPR) alapján szabhatnák ki a büntetéseket a hatóságok, akkor sokkal több nulla szerepelt volna a most benyújtott brit és holland számlán.