法国数据保护监察机构因数据泄露对Uber处以460000美元的罚款-王其杉博客|程序员|科技新闻
一个接一个地,欧洲国家对Uber处理2016年数据泄露的行为进行处罚。今天,法国的数据保护监督机构,CNIL宣布将罚款乌伯460000美元(40万欧元)。
这次事件是糟糕的安全与糟糕的反应和良好的时机的结合。早在2016年,Uber就面临数据泄露,影响了5700万用户,其中包括法国140万用户。
根据CNIL的报告,黑客利用一些员工的登录名和密码连接到了Uber的GitHub存储库。然后他们设法连接到Uber的Amazon Web Services帐户并下载用户数据。
怎样?很简单。AWS登录信息以纯文本形式存储在GitHub上。
2016年Uber数据泄露事件背后的两名黑客因另一起黑客事件被起诉。
CNIL说,如果:
Uber已经对私有GitHub存储库强制进行双因素身份验证。
Uber没有在GitHub上以纯文本形式存储AWS登录信息。
Uber使用IP白名单连接到AWS。
Uber首先试图通过向黑客支付10万美元让他们删除数据集来掩盖漏洞。它最终披露了去年的违约情况。
对尤伯来说,唯一的好消息是,对于欧盟的国内生产总值(GDP)来说,这一突破发生得有点太早了。现在,如果一家公司在72小时内没有向有关部门报告违约情况,他们最终可能要缴纳公司全球年营业额的4%的罚款。
英国和荷兰当局此前分别处以490000和690000美元的罚款(385000欧元和60万欧元)。总的来说,罚款为160万美元。
尤伯2016年违反和掩盖欧盟罚款的议案增加了100万美元。