Kary nałożone na UBER dotyczą brytyjskich danych blisko 3 milionów klientów, które wyciekły dwa lata temu. Gdyby naruszenie nastąpiło po 25 maja 2018, kwota byłaby 203 razy większa. Przestępcom udało się uzyskać nieautoryzowany dostęp do imion i nazwisk, adresów email, numerów telefonów, danych nt. przebytej trasy oraz informacji o płatnościach.
Angielski organ nadzorczy ICO (ang. Information Commissioner’s Office) – odpowiednik polskiego GIODO – w ostatnich dniach poinformował na swojej stronie internetowej o nałożeniu grzywny w wysokości 492 tys. USD. Podobną karę na Ubera w wysokości 600 tysięcy euro nałożył holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens).
Ataku dokonano za pomocą metody nazywanej credential stuffing. Polega ona na kradzieży loginów i haseł ze słabo zabezpieczonych serwerów lub kupowaniu ich na czarnym rynku i które służą najczęściej do zautomatyzowanego, masowego logowania do atakowanej usługi.
Głównym powodem kary było zachowanie UBERa po ataku, który zataił ten fakt przed swoimi klientami oraz w tajemnicy zapłacił napastnikom okup za zniszczenie wykradzionych danych.
Od 25 maja 2018 r. w Unii Europejskiej istnieje nowe rozporządzenie o Ochronie Danych Osobowych (GDPR), zgodnie z którym grzywna wyniosłaby 100 mln USD (4% rocznego obrotu przedsiębiorstwa).
Podobna grzywna została nałożona na Facebook za skandal związany z Cambridge Analytica oraz na amerykańskiego potentata kredytowego, firmę Equifax – ofiarę największego naruszenia w historii, które doprowadziło do wycieku numerów ubezpieczeń społecznych niemal połowy Amerykanów.
W takiej sytuacji, gdy dane już wyciekły, wszyscy zainteresowani powinni zostać natychmiast poinformowani o naruszeniu i konieczności zmiany haseł i loginów we wszystkich usługach, do których z ich pomocą się logują. Może to zapobiec kradzieży danych z innych serwerów klientów.