Avustralya'nın ulusal gizlilik gözlemcisi, Uber'in Avustralyalıların kişisel bilgilerini gerektiği şekilde korumadığını söyledi. Gözlemci, Uber'in Ekim ve Kasım 2016'da bir siber saldırıda erişilen 1,2 milyon Avustralyalı müşterinin ve sürücünün kişisel verilerinin ihlal edildiğini tespit etti.
Avustralya Bilgi Komisyonu Ofisi (OAIC) tarafından yürütülen soruşturma kapsamında Uber'in, Avustralyalı kullanıcıların verilerini korumak için önleyici tedbirler alıp almadığına odaklanıldı. OAIC komiseri Angelene Falk hem ABD merkezli Uber Technologies hem de Hollanda merkezli Uber BV'nin Avustralyalıların kişisel bilgilerini erişime açarak ve kimliklerini gizlemek için faaliyette bulunmayarak Avustralya gizlilik yasalarını ihlal ettiğini belirledi.
OAIC tarafından veri ihlaliyle ilgili yapılan soruşturmaya ilişkin yayımlanan rapora göre, siber saldırganlar Uber'in GitHub depolarından birinde aktif bir Amazon Web Hizmetleri kimlik bilgisi tespit etti. Bulunan bu kimlik bilgisi daha sonra Amazon'un S3 bulut depolama hizmetinden 16 dosyanın içeriğini indirmek için kullanıldı. İndirilen dosyalardan bazıları, S3'te depolanan arşivlenmiş sürücü verilerini içeriyordu. Bu dosyalar şifrelenmemişti ve verilerin yeni bir sisteme taşınmasıyla bağlantılı olarak Uber'in olağan süreçlerinin dışında oluşturulmuş yedekleme dosyalarıydı.
Yaşanan tüm bu olayların derinine indiğimizde iş giderek garipleşiyor. Şöyle ki Uber, yaşanan bu saldırıyı, ihlali sorumlu bir şekilde ifşa etmek yerine saldırganlara (verileri yok etmek kaydıyla) bir güvenlik açığını tespit ettikleri için yüz bin dolar ücret ödedi. OAIC, Uber'in veri ihlalinden neredeyse bir yıl sonrasına kadar erişilmiş hesapların, kişisel bilgilerin değerlendirmesini yapmadığını söyledi ve şirket, Kasım 2017'ye kadar veri ihlalini kamu dahil hiçbir yere açıklamadı.
Angelene Falk: “Gelecekte Uber'in Avustralyalıların kişisel bilgilerini Gizlilik Yasası uyarınca koruduğundan emin olmamız gerekiyor.''
Falk, her iki Uber şirketinin de Avustralya'nın Gizlilik Yasasına uyması gerektiğini söyledi. ''Bu kararlılık, küresel şirketlerin Avustralya gizlilik yasası kapsamındaki sorumluluklarına ilişkin görüşü netleştiriyor.'' diye ekledi. ''Avustralyalılar, bir şirkete kişisel bilgilerini verirken, Gizlilik Yasası tarafından korunduklarına dair güvenceye ihtiyaç duyarlar.'' şeklinde konuştu.
Avustralya Bilgi Komisyonu Ofisi'nin bu sert tutumunun bir sonucu olarak, Uber'in Avustralya'nın gizlilik ilkelerine uymasını sağlayacak bir veri saklama ve imha politikası, bilgi güvenliği programı ve olaya müdahale planı uygulaması ve sürdürmesi gerekiyor.
