La formazione ristretta del CNIL ha dichiarato una sanzione di 400.000 € nei confronti della società UBER per non aver sufficientemente protetto i dati degli utenti del suo servizio di VTC.
Nel novembre 2017, la società UBER ha rivelato sulla stampa che un anno fa, due persone avevano rubato i dati personali di 57 milioni di utenti dei suoi servizi. A seguito di questa rivelazione, il G29 (Gruppo di CNIL europei) ha creato un gruppo di lavoro per coordinare le procedure di indagine delle diverse autorità di protezione dei dati. L’indagine ha evidenziato le diverse fasi dell’attacco. Gli autori degli attacchi sono riusciti ad accedere agli identificatori archiviati in chiaro sulla piattaforma di sviluppo collaborativo “Github”. Hanno quindi utilizzato queste credenziali per accedere da remoto a un server su cui sono archiviati i dati. Hanno scaricato informazioni su 57 milioni di utenti, inclusi 1,4 milioni di utenti in Francia.
La formazione limitata del CNIL ha stimato che questo attacco non avrebbe avuto successo se fossero state messe in atto alcune misure di sicurezza di base. In particolare, ha sottolineato che: l’azienda avrebbe dovuto aspettarsi che i suoi ingegneri si connettessero alla piattaforma di sviluppo collaborativo “Github” attraverso una forte misura di autenticazione (ad esempio, un identificatore e una password e un codice segreto inviato ad un telefono); non avrebbe dovuto essere memorizzato in modo non criptato all’interno del codice sorgente degli identificatori “GitHub” della piattaforma per accedere al server; per l’accesso ai server “Amazon Web Services S3” contenenti dati utente, dovrebbe aver impostato un sistema per filtrare gli indirizzi IP.
In queste circostanze, la formazione ristretta ha ritenuto che la società avesse fallito nel suo obbligo di sicurezza dei dati personali. Ha condannato Uber France SAS, uno stabilimento di Uber Technologies Inc. e Uber B.V, a una multa di 400.000 € . Data la data dei fatti, il GDPR non era ancora applicabile. Dato il gran numero di persone interessate e la necessità di sensibilizzare gli operatori, la formazione ristretta ha anche deciso di rendere pubblica questa decisione.
Altre autorità europee hanno imposto sanzioni in relazione a questi fatti. Il 6 novembre 2018, l’autorità olandese per la protezione dei dati ha inflitto una multa ad UBER di 600.000 € per mancata notifica della violazione dei dati. Il 26 novembre, l’autorità britannica ha imposto una sanzione di 385.000 sterline per non aver protetto i dati.