Uber bị phạt 23 tỷ đồng vì làm rò rỉ dữ liệu và không bảo vệ khách hàng

15:10, 28/11/2018

(XHTT) - Văn phòng Ủy viên thông tin của Anh (ICO) và Cơ quan Bảo vệ Dữ liệu Hà Lan (Dutch DPA) vừa ra án phạt dành cho hãng Uber hoạt động tại 02 quốc gia này với số tiền phạt lên đến 01 triệu USD.

Mới đây, Văn phòng Ủy viên thông tin của Anh (ICO) và Cơ quan Bảo vệ Dữ liệu Hà Lan (Dutch DPA) vừa ra án phạt dành cho hãng Uber hoạt động tại 02 quốc gia này với số tiền phạt lên đến 01 triệu USD (khoảng 23 tỷ đồng), vì không bảo vệ khách hàng và vi phạm các quy định quản lý dữ liệu.

Trả lời trước báo chí, Văn phòng ICO cho biết, đã áp dụng mức phạt dành cho Uber là 385.000 bảng Anh (khoảng 11,5 tỷ đồng) vì đã không bảo vệ thông tin cá nhân của khách hàng trước một cuộc tấn công mạng.

Cùng với đó, Cơ quan bảo vệ dữ liệu Hà Lan (Dutch DPA) cũng áp đặt mức phạt 600.000 Euro (15,8 tỷ đồng) dành cho Uber (cụ thể là Uber BV và Uber Technologies, Inc (UTI) – tên của thương hiệu Uber khi hoạt động ở Hà Lan) vì vi phạm quy định về quản lý dữ liệu của Hà Lan. Năm 2016, Uber đã vi phạm dữ liệu khi có hành vi truy cập trái phép vào dữ liệu cá nhân khách hàng và tài xế.

Vụ việc Uber vi phạm dữ liệu vào năm 2016 đã làm ảnh hưởng tới 57 triệu người dùng Uber trên toàn thế giới và khoảng 174.000 người dùng tại Hà Lan. Cũng theo ICO, có khoảng 2,7 triệu khách hàng ở Anh đã bị xâm nhập dữ liệu cá nhân trái phép và khoảng 82.000 hồ sơ lái xe của Anh cũng bị kẻ tấn công đánh cắp vào năm 2016.

Trong vụ đánh cắp dữ liệu, tên đầy đủ của khách hàng Uber, địa chỉ email và số điện thoại cũng như số tiền thanh toán với lái xe và chi tiết hành trình chuyến đi đã bị đánh cắp từ hệ thống lưu trữ đám mây do công ty mẹ của Uber ở Mỹ điều hành.

Uber đã trả 100.000 USD cho những kẻ tấn công để xóa bỏ toàn bộ dữ liệu bị đánh cắp

Trong quá trình điều tra, ICO đã phát hiện ra một vấn đề trong vụ vi phạm dữ liệu của Uber vào năm 2016, đó là những kẻ tấn công có thể xâm nhập vào hệ thống máy tính của hãng vận tải này bằng cách sử dụng thông tin xác thực, một hình thức tấn công sử dụng cặp tên người dùng/mật khẩu để đăng nhập vào hệ thống.

Sau khi phát hiện ra vụ tấn công, Uber đã không báo cáo về sự cố bảo mật cho cơ quan bảo vệ dữ liệu hoặc khách hàng của mình, mà lại chọn phương án trả tiền cho tin tặc, với số tiền lên đến 100.000 USD để tiêu diệt dữ liệu mà chúng đã đánh cắp.

Theo giám đốc của ICO, hành động nêu trên của Uber không chỉ cho thấy khả năng hạn chế trong vấn đề bảo vệ dữ liệu khách hàng, mà còn coi thường khách hàng cũng như tài xế có thông tin bị đánh cắp. Bất cứ ai là nạn nhân của vụ vi phạm dữ liệu cũng cần phải được trợ giúp và hỗ trợ để vượt qua khủng hoảng.

Việc vi phạm dữ liệu của Uber vào năm 2016 cuối cùng cũng đã được tiết lộ khi Uber đưa ra một thông báo trên các phương tiện truyền thông đại chúng vào tháng 11/2017.

 

Hoàng Thanh 

 

.