Kompanija je u Velikoj Britaniji platila kaznu od 334.000 dolara zbog propusta u sajber-bezbednosti i prikrivanja hakerskog napada iz 2014. godine.
Kancelarija komesara za informacije, nezavisna organizacija koja se bavi sprovođenjem prava na informacije, izjavila je u utorak da je kompaniji „Jahu“ naloženo da plati kaznu od 250.000 funti, što je oko 334.000 dolara, zbog propusta u zaštiti podataka u novembru 2014. godine. Hakeri su pristupili osetljivim podacima naloga oko 500 miliona korisnika, od čeka je više od pola miliona iz Velike Britanije. Kompanija nije kažnjena zbog toga što su hakeri upali u sistem i pokrali podatke. Kancelarija je izrekla kaznu jer je kompaniji bilo potrebno skoro dve godine da svoje korisnike obavesti o upadu u naloge. Organizacija je dodala da kompanija nije preduzela sve potrebne mere da zaštiti podatke više od pola miliona ljudi i nije uspela da zadovolji Britanske standarde zaštite podataka.
„Ljudi očekuju da kompanije i organizacije zaštite njihove lične podatke od zlonamernih upada koji za cilj imaju njihovu zloupotrebu“, izjavio je zamenik komesara kancelarije Džejms Dipl-Džonstoun u izjavi za javnost. „Nismo očekivali da će naši istražitelji otkriti takve propuste u kompaniji koja ima ogromne mogućnosti da promeni odgovarajuće bezbednosne mere i tako spreči potencijalno kompromitovanje podataka stanovnika Britanije.“
Kazna izrečena u utorak je zanemarljiva u poređenju sa kaznom od 35 miliona dolara koje je Komisija za hartije od vrednosti i berze Sjedinjenih Država izrekla „Altabi“, delu kompanije „Jahu“ koji je preostao pošto je najveći deo imovine prodat „Verizonu“. Upad u „Jahu“ iz 2014. godine koji je sponzorisala država smatra se najvećim napadom na podatke u istoriji od kad je kompanija, 2013. godine, objavila da je 3 milijarde naloga na njenom sajtu kompromitovano u samo jednom hakerskom napadu. Kancelarija je istakla da je nesposobnost kompanije da zaštiti podatke već dugo poznata, a da pri tom nije otkrivena, niti se bilo šta preduzelo po tom pitanju.
Blagovremeno otkrivanje upada je od presudnog značaja kako za investitore, tako i za potencijalne žrtve hakera. Nova Uredba o zaštiti podataka ličnosti u Evropskoj uniji zahteva da kompanije o upadu u podatke moraju obavestiti nadležne u roku od 72 sata od napada. Zahtevi su drugačiji u Sjedinjenim Državama, a razlikuju se i od jedne do druge države, ali svi se slažu da je dve godine suviše dug period. U martu ove godine, državni tužilac Pensilvanije pokrenuo je postupak protiv kompanije „Uber“ jer joj je bilo potrebno više od godinu dana da otkrije upad u podatke korisnika.