uber

UberのセキュリティインシデントからみるGDPR準拠へのポイント

Reading Time: 1 minutes年々利用者を増やしており、特に海外では多くの人に親しまれているUberですが、昨年、その人気が危ぶまれる出来事が発生しました。 Uberは、欧州連合(EU)の中でその成長率を維持するために、広報、法的課題、マーケティング活動に多くのリソースを費やしてきました。そのような活動の中、2017年11月掲載のUberのブログにて、2016年10月ごろに受けたサイバー攻撃を公開せず、隠ぺいしていたことが明らかとなりました。同社はブログにて、昨年10月に5000万人のユーザー情報と700万人のドライバーの名前、メールアドレス、電話番号、運転免許証の番号が流出し、漏洩した情報に対する一切の黙秘を条件に、ハッカーへ10万ドルを支払っていたことを報告しました。もともとこのようなセキュリティ違反は重大なインシデントとなりますが、EUの一般データ保護規則(GDPR)が施行された今、Uberにとっては、EUで再び信頼を得るための大きな障壁となり得ます。 ● どのようにして攻撃が発生したのか? Uberのエンジニアは、開発のためにGitHubコーディングサイトを使用していましたが、ハッカーはそのサイトの抜け穴を利用してログイン情報を取得後、個人データを抜き出しました。Uberは、すでに今後の攻撃を阻止するための対策を講じていると主張していますが、今回ポイントとなるのは、セキュリティ違反を直ちに公表しなかったという点です。実際、問題が発生したタイミングでは違反を報告する義務はありませんでしたが、GDPRが施行された今、欧州で同様のことが発生した際には、企業にとって深刻な事態となります。... >>続きを読む

ADAudit Plus , Desktop Central , EventLog Analyzer 1 min read