A FTC aborda a violação de dados não divulgados da Uber em nova ordem proposta

Além de uma contagem sobre as garantias enganosas da Uber feitas aos consumidores em resposta aos relatórios de que os funcionários estavam acessando as informações pessoais dos pilotos, a queixa da FTC em agosto de 2017 incluiu uma segunda contagem relacionada a lapsos de segurança no uso de um serviço de armazenamento em nuvem de terceiros. Apesar das expansivas reivindicações de segurança da empresa, a FTC acusou que uma série de decisões e omissões do Uber – quando tomada em conjunto – resultou em segurança irracional para dados pessoais Uber armazenados nesse serviço.

Entre os lapsos que a FTC desafiou, mostrou -se particularmente prejudicial: a política da Uber de permitir que sua equipe use uma única chave de acesso que fornecia privilégios de administrador completos sobre os dados sensíveis Uber armazenados em texto claro e não criptografado nesse serviço em nuvem. Por que essa decisão foi tão fatídica? Porque quando um engenheiro da Uber publicou publicamente uma chave de acesso no GitHub, um site de compartilhamento de código popular entre os desenvolvedores de software, um intruso usou esse passe de todos os bastidores para obter dados pessoais sobre mais de 100.000 pessoas.

Essa violação de maio de 2014 foi citada na ação original da FTC contra o Uber. No entanto, o Uber experimentou outra violação no outono de 2016 também decorrente das opções de segurança LAX Uber feitas no uso do serviço de armazenamento em nuvem de terceiros. Mais uma vez, os intrusos usaram uma chave de acesso que um engenheiro da Uber havia publicado no Github. Desta vez, a chave foi postada em um repositório particular do GitHub. No entanto, a Uber permitiu que seus engenheiros acessem os repositórios do GitHub da empresa por meio de contas individuais dos engenheiros, que geralmente estavam ligadas a endereços de email pessoais. A Uber não proibiu seus engenheiros de reutilizar credenciais e não exigiram que eles permitissem a autenticação de vários fatores ao acessar os repositórios do GitHub da empresa. Os intrusos disseram que obtiveram acesso usando senhas expostas em outras violações de big data. Em um período de um mês, os intrusos usaram essa chave de acesso de texto simples para baixar 25,6 milhões de nomes e endereços de e-mail, 22,1 milhões de nomes e números de telefone celular e 607.000 nomes e números de carteira de motorista de pilotos e motoristas dos EUA.

A Uber soube da violação em 14 de novembro de 2016, quando um atacante entrou em contato com a empresa, exigindo um pagamento de seis dígitos. A Uber pagou US $ 100.000 através do terceiro que administra o programa “Bug Bounty” da Uber. Muitas empresas têm programas de recompensa de insetos para oferecer recompensas pela divulgação responsável de sérias vulnerabilidades de segurança. Mas, diferentemente de uma recompensa legítima de insetos, este foi um pagamento do Uber aos mesmos atacantes que exploraram maliciosamente a vulnerabilidade para roubar informações pessoais sobre milhões de pessoas.

O Uber não divulgou a violação aos consumidores afetados até 21 de novembro de 2017, mais de um ano depois que a empresa soube disso. Além disso, a violação do outono de 2016 ocorreu enquanto o Uber estava em discussões com a FTC sobre sua investigação da violação de maio de 2014, que também está relacionada às práticas da Companhia para garantir dados do consumidor armazenados no serviço em nuvem de terceiros. Apesar da pendência dessa investigação, o Uber não contou a FTC sobre a segunda violação até novembro de 2017.

Qual é o resultado desta revelação? Quando a FTC anuncia um acordo administrativo, o contrato de consentimento proposto é registrado por 30 dias para comentários públicos. Depois de considerar os comentários, a FTC aceita o pedido como final ou não. Nesse caso, a FTC retirou seu acordo proposto com o Uber e está entrando em um novo acordo que também estará registrado por 30 dias para comentários públicos, começando hoje até 14 de maio de 2018. A FTC decidirá então se deve retirar do novo acordo ou aceite -o como final.

O que há de diferente na nova queixa e ordem propostas? A queixa inclui uma seção adicional que descreve as alegações relacionadas à violação de dados do outono de 2016. O pedido proposto apresenta várias disposições adicionais projetadas para abordar o que aconteceu neste caso e proteger os consumidores no futuro. Você vai querer ler o pedido para os detalhes, mas aqui estão algumas maneiras pelas quais é notavelmente mais amplo.

A ordem proposta em agosto de 2017 exigiria que o Uber implementasse um programa abrangente de privacidade. O novo pedido exige que o programa também aborde: 1) design, desenvolvimento e teste de software seguro, incluindo gerenciamento de chaves de acesso e armazenamento em nuvem segura; 2) Como o Uber revisa e responde a relatórios de vulnerabilidade de segurança de terceiros, incluindo seu programa de recompensa de insetos; e 3) prevenção, detecção e resposta a ataques, intrusões ou falhas de sistemas. Sob uma nova disposição, a Uber terá que enviar um relatório à FTC sobre qualquer episódio em que a empresa deve notificar qualquer entidade do governo federal, estadual ou local dos EUA sobre o acesso não autorizado das informações de qualquer consumidor. E as disposições de relatórios e manutenção de registros foram expandidas para ficar de olho no que o Uber está fazendo, incluindo a operação de seu programa de recompensa de insetos e comunicações com outros agentes da lei.