Birleşik Krallık Veri Koruma Otoritesi (ICO) ve Hollanda Veri Koruma Otoritesi (DPA) tarafından bugün yapılan açıklama ile siber saldırı sonucunda müşterilerinin kişisel bilgilerini koruyamadığı ve çalınan verileri saldırganlara ödeme yaparak yok etmeye çalıştığı gerekçesiyle Uber’e toplamda 1 milyon avronun üzerinde para cezası uygulandı.
ICO tarafından yapılan açıklamada Uber’in ABD’deki ana şirketi tarafından işletilen bulut tabanlı bir depolama sisteminden yaklaşık 2.7 milyon İngiliz müşterinin kişisel bilgilerine saldırganlar tarafından erişildiği ve bu bilgilerin sistemden indirilerek kaydedildiği ifade edildi. 2016 yılında gerçekleşen saldırıda elde edilen bilgiler arasında müşterilerin tam adları, e-posta adresleri ve telefon numaraları yer almaktadır. Ayrıca Birleşik Krallık’taki yaklaşık 82.000 sürücünün de yolculuk detayları ve kendilerine ne kadar ücret ödendiğine ilişkin bilgiler de saldırganlar tarafından ele geçirilmiştir.
ICO tarafından yapılan incelemede, kullanıcı adı ve parolanın mevcut bir hesapla eşleşene kadar internet sitelerine yerleştirildiği “credential stuffing” işleminin Uber’in veri depolama alanına erişmek için kullanıldığı tespit edildi. Yapılan değerlendirmede alınacak yeterli teknik tedbirlerle bu saldırının önlenebileceği belirtildi. Bu kapsamda Uber ABD şirketinin politika ve uygulamalarının GitHub gibi üçüncü kişi platformların kullanımı sonucunda doğacak riskleri karşılamadığı ve çok aşamalı kimlik doğrulama sisteminin uygulanmadığı vurgulandı. Uber’in depoladığı verilerin her aşamada kaydını tutmadığı da tespit edildi.
Kararda öne çıkan unsurlardan birisi de etkilenen müşteri ve sürücülere bir yıldan fazla bir süre boyunca olay hakkında bilgi verilmemesi oldu. Üstelik bunun yerine indirdikleri verileri yok etmeleri için saldırganlara Uber tarafından 100.000 dolarlık ödeme yapıldı. Hollanda Veri Koruma Otoritesi tarafından yapılan açıklamada da bu hususa dikkat çekilerek 174.000 Hollanda vatandaşının verisinin ele geçirilmesine rağmen bildirim yükümlülüğüne uygun olarak hareket edilmediği belirtildi.
Sonuç olarak Uber’e ICO tarafından 385.000 £ ve DPA tarafından da 600.000 € para cezası verildi.