優步在歐洲的黑色連勝仍在持續。 CNIL 剛剛對 Uber France SAS 處以 40 萬歐元的罰款,原因是其用戶資料的安全性遭到破壞。去年 11 月,荷蘭和英國同行因同樣原因分別處以 60 萬歐元和 38.5 萬英鎊的罰款。
2017年11月,Uber承認5700萬客戶資料被駭客入侵一年前。在這一消息曝光後,G29(歐洲 CNIL 的一個組織)成立了一個工作小組來協調其調查程序,如所解釋的法國 CNIL 的新聞稿。
Uber 開發者的失敗
Uber 開發人員在協作平台 GitHub 上以純文字形式儲存標識符,允許存取相關資料所在的伺服器。從 5,700 萬客戶下載的資訊中,有 140 萬客戶位於法國境內。
據 CNIL 稱,Uber 可以透過三個簡單的措施來避免這種情況:
– 公司應該計劃其工程師使用強大的身份驗證措施連接到 GitHub(例如,使用者名稱和密碼,然後將密碼發送到手機);
– 它不應該以純文字形式儲存在允許存取伺服器的 Github 原始碼識別碼中;
– 為了存取包含使用者資料的 Amazon Web Services 伺服器,它應該實施 IP 位址過濾系統。
CNIL因此認為這些條件構成了對Uber客戶個人資料安全義務的違反。 40萬歐元的罰款符合GDPR先前的規定,因為事實可以追溯到2017年11月,而自2018年5月25日起實施的歐洲法規之前。
