FTC dąży do ukarania Drizly'ego i jego dyrektora generalnego za naruszenie, które ujawniło dane 2.5 miliona użytkowników

Federalna Komisja Handlu chce ograniczyć ilość danych osobowych, które Drizly może gromadzić w ramach działań egzekucyjnych, które jest proponując przeciwko rynek i jego dyrektor generalny. Według FTC, firma dostarczająca alkohol, którą Uber kupił w 2021 roku, i jej dyrektor generalny, James Cory Rellas, zostali powiadomieni o problemach z bezpieczeństwem już w 2018 roku. Komisja stwierdziła, że ​​nie udało im się odpowiednio chronić informacji swoich użytkowników, co umożliwiło naruszenie danych w 2020 r., które ujawniło dane 2.5 miliona użytkowników.

W oparciu o pierwotną skargę FTC, pracownik Drizly opublikował dane logowania firmy do swojego konta w chmurze Amazon Web Services (AWS) na GitHub w 2018 roku. Drizly przechowuje dane użytkowników, takie jak ich e-maile, adresy pocztowe, numery telefonów, a nawet ich unikalne identyfikuje urządzenie, informacje o geolokalizacji i wszelkie inne dane zakupione od stron trzecich, które można z powrotem połączyć z nimi w AWS. Hakerzy byli w stanie wykorzystać te loginy do infiltracji serwerów Drizly i wykorzystania ich do kopania kryptowaluty. 

Podczas gdy Drizly odzyskał kontrolę, zmieniając swoje dane logowania, FTC twierdzi, że nie wdrożyła „rozsądnych zabezpieczeń” w celu ochrony swoich użytkowników i rozwiązania problemów związanych z bezpieczeństwem, mimo że publicznie twierdziła, że ​​to zrobiła. W 2020 r. hakerowi udało się dostać na konto pracownika i uzyskać dostęp do firmowego GitHub. Następnie włamali się do bazy danych Drizly i ukradli dane osobowe 2.5 miliona klientów, które od tego czasu były oferowane do sprzedaży na co najmniej dwóch różnych stronach internetowych w ciemnej sieci.

FTC twierdzi, że te zdarzenia były możliwe dzięki złym praktykom bezpieczeństwa Drizly, takim jak nie wymaganie od pracowników korzystania z dwuskładnikowych usług GitHub, gdzie przechowuje dane logowania. Drizly nie ograniczał również dostępu pracowników do danych osobowych użytkowników, dodaje FTC, i nie miał wyższego kierownictwa nadzorującego jego praktyki bezpieczeństwa. 

Zgodnie z proponowanymi poleceniami FTC Drizly będzie musiała zniszczyć wszelkie zebrane wcześniej dane osobowe, które nie są konieczne do świadczenia jej usług. Będzie również musiał powstrzymać się od zbierania niepotrzebnych danych w przyszłości i będzie musiał publicznie ujawniać informacje, których wymaga od użytkowników na swojej stronie internetowej. Ponadto będzie musiała wdrożyć kompleksowy program bezpieczeństwa i wyznaczyć kierownictwo do nadzorowania jego działań. 

Komisja wydała również rozkazy, które osobiście odnoszą się do Rellas ze względu na rolę, jaką odegrał w kierowaniu luźnymi praktykami bezpieczeństwa Drizly'ego. Jeśli Relas zdecyduje się zrezygnować z usług dostarczania alkoholu, nadal będzie musiał wdrożyć program bezpieczeństwa informacji w przyszłych firmach, w których przejmie rolę dyrektora generalnego, właściciela większościowego lub wyższej kadry kierowniczej zajmującej się bezpieczeństwem. Jak The Washington Post Zauważa, że ​​w przeszłości FTC rzadko wskazywała kierownictwo w podobnych przypadkach naruszenia bezpieczeństwa, co wskazuje na nowe podejście do postępowania z firmami, w których zastosowano nieodpowiednie środki bezpieczeństwa.

Samuel Levine, dyrektor Biura Ochrony Konsumentów FTC, powiedział w oświadczeniu:

„Nasze proponowane nakaz przeciwko Drizly nie tylko ogranicza to, co firma może zatrzymać i zebrać w przyszłości, ale także gwarantuje, że prezes poniesie konsekwencje wynikające z niedbalstwa firmy. Dyrektorzy generalni, którzy idą na skróty w kwestii bezpieczeństwa, powinni to zauważyć”.

FTC opublikuje te proponowane zamówienia soon, i będą otwarte do publicznego komentowania przez 30 dni, zanim komisja zdecyduje, czy uczynią je oficjalnymi.