Underwood Anuncia Un Acuerdo De $148 Millones Con Uber Sobre La Infracción De Datos De 2016

El acuerdo con 50 estados y DC también requiere que Uber adopte practicas modelos de notificación de infracciones y seguridad de datos, así como un programa de integridad corporativa; Contratar a compañías independientes para evaluar la seguridad de los datos

NUEVA YORK - La Fiscal General Barbara D. Underwood anunció hoy un acuerdo con la empresa Uber Technologies, Inc. (Uber) para resolver acusaciones de que dicha empresa ocultó intencionalmente una infracción de datos en 2016 en violación de las leyes estatales de notificación de violación de datos. El acuerdo, que incluye a los 50 estados y el Distrito de Columbia, requiere que Uber adopte prácticas de seguridad de datos y notificación de violación de datos modelo y un programa de integridad corporativa para investigar reportes de comportamiento no ético y contrate a un tercero independiente para evaluar sus prácticas de seguridad de datos. También requiere que Uber pague una multa récord de $148 millones.

“Los neoyorquinos merecen saber que su información personal estará protegida, punto”, dijo la Fiscal General Underwood. “Este acuerdo récord debería enviar un mensaje claro: tenemos tolerancia cero para los que eluden la ley y dejan la información de consumidores y empleados vulnerable a la explotación. Continuaremos luchando para proteger a los neoyorquinos de la seguridad de los datos ineficaces y de los criminales piratas informáticos”.

En noviembre de 2016, los piratas informáticos con sede en Estados Unidos y Canadá informaron secretamente a los oficiales de seguridad de Uber que habían descargado la información personal de 57 millones de pasajeros y conductores, 25 millones de los cuales estaban en los Estados Unidos y 7.7 millones eran conductores. La información robada incluye nombres, direcciones de correo electrónico y números de teléfono móvil; la información de la licencia de conducir correspondiente a aproximadamente 600,000 conductores en todo el país también fue robada. Después de proporcionar pruebas de la violación masiva de datos, los hackers exigieron "seis cifras" para eliminar los datos y no revelar la violación. Uber finalmente pagó a los piratas informáticos $100,000 para ocultar la violación.

En la primavera de 2017, la Junta Directiva de Uber ordenó a un bufete de abogados que investigara el equipo de seguridad de Uber tras un litigio no relacionado vinculando al presunto robo de secretos comerciales relacionados con automóviles sin conductor. Como parte de esta investigación, la firma de abogados se enteró de la violación y el pago del rescate. Al enterarse de la violación, la junta contrató a una empresa forense para investigar la violación. Uber finalmente dio aviso de la violación a finales de noviembre de 2017, un año después de la violación.

La Ley General de Comercio § 899-aa exige que las compañías que experimenten una violación que involucre cierta información personal, incluidos los números de licencia de conducir, den aviso "en el menor tiempo posible y sin demora injustificada". Ocultando intencionalmente la violación y no divulgándola durante un año, Uber violó GBL § 899-aa. Como parte del acuerdo nacional, Uber acordó pagar una multa récord de $148 millones a los estados. Nueva York recibirá aproximadamente $ 5.1 millones.

El acuerdo entre Nueva York y Uber requiere que la empresa:

  • Cumplir con las leyes de infracciones de datos y protección del consumidor de Nueva York con respecto a proteger la información personal de los residentes de Nueva York y notificarlos en caso de una violación de datos con respecto a su información personal;
  • Tomar precauciones para proteger los datos de usuario de Uber en plataformas de terceros fuera de Uber;
  • Usar políticas de contraseñas seguras para que sus empleados tengan acceso a la red de Uber;
  • Desarrollar e implementar una sólida política general de seguridad de datos para todos los datos que Uber recopila sobre sus usuarios, incluida la evaluación de los riesgos potenciales para la seguridad de los datos y la implementación de medidas de seguridad adicionales más allá de lo que Uber está haciendo para proteger los datos;
  • Contratar una parte externa calificada para evaluar los esfuerzos de seguridad de datos de Uber de forma regular y redactar un informe con las mejoras de seguridad recomendadas. Uber implementará cualquier recomendación de mejora de seguridad; y
  • Desarrollar e implementar un programa de integridad corporativa para garantizar que los empleados de Uber puedan informar cualquier inquietud ética que tengan sobre cualquier otro empleado de Uber o la compañía.

Este acuerdo también aborda y resuelve las denuncias de que la conducta de Uber violó un acuerdo anterior de 2016 con la Fiscalía General de Nueva York. En la investigación anterior, la Fiscalía descubrió que el 12 de mayo de 2014, un pirata informático accedió a una base de datos de Uber que incluía nombres de aproximadamente 50,000 choferes de Uber y sus números de licencia de conducir. Uber descubrió el incumplimiento en septiembre de 2014, pero no dio aviso a los conductores afectados ni a la oficina hasta el 26 de febrero de 2015, más de 5 meses después. El acuerdo anterior de 2016 requirió a Uber cumplir con GBL § 899-aa. También requería que Uber adoptara tecnologías protectoras para el almacenamiento, acceso y transferencia de cierta información personal y credenciales relacionadas con su acceso, incluida la adopción de autenticación de factores múltiples, o metodologías de protección y control de acceso similares

La Fiscal General de Nueva York investigó de manera independiente la infracción actual, pero más tarde se unió al proceso de investigación de varios estados, donde tomó una posición de liderazgo, para llevar a cabo el acuerdo. La Oficina de la Fiscal General también ha propuesto legislación para resolver las lagunas jurídicas en las leyes de seguridad de datos de Nueva York y proteger exhaustivamente la información personal de los neoyorquinos de las violaciones de datos.

El caso fue manejado por el Jefe Adjunto de la Oficina de Internet y Tecnología, Clark Russell, bajo la supervisión de la Jefa del Buró, Kim A. Berger. La Oficina de Internet y Tecnología es supervisada por la Fiscal Adjunta Ejecutiva de Justicia Económica, Manisha M. Sheth.