A FTC diz que o Uber deu uma guinada errada com a privacidade enganosa, as promessas de segurança

Quanta informação o Uber tem sobre seus pilotos e motoristas? Bastante. A FTC acaba de anunciar um acordo Abordando as cobranças de que a empresa alegou falsamente monitorar de perto o acesso interno às informações pessoais dos consumidores continuamente. A FTC também alega que o Uber não cumpre sua promessa de fornecer segurança razoável para dados do consumidor.

A Uber coleta e mantém informações confidenciais sobre seus pilotos – por exemplo, nomes, endereços, fotos de perfil e registros detalhados de viagem, incluindo a geolocalização. Quando as pessoas se inscrevem para serem motoristas da Uber, a empresa também coleta muitos dados – números de previdência social, números de carteira de motorista, números de contas bancárias, registros de carros e similares.

A história por trás da FTC reclamação Volte a pelo menos 2014. Foi quando a empresa foi objeto de reportagens, alegando que os funcionários da Uber haviam acessado indevidamente as informações pessoais dos pilotos. Como os consumidores reagiram? Não está bem.

Para responder à controvérsia, o Uber postou esta declaração em seu site:

O Uber tem uma política estrita que proíbe todos os funcionários em todos os níveis de acessar os dados de um piloto ou motorista. A única exceção a esta política é para um conjunto limitado de fins comerciais legítimos. Nossa política foi comunicada a todos os funcionários e contratados. . . .

A política também está clara de que o acesso às contas do piloto e do motorista está sendo monitorado e auditado de perto pelos especialistas em segurança de dados continuamente, e quaisquer violações da política resultarão em ações disciplinares, incluindo a possibilidade de rescisão e ação legal.

Como o Uber armazenou algumas das informações confidenciais em sua posse? A Uber usou um conhecido serviço de armazenamento em nuvem de terceiros para manter grandes quantidades, incluindo backups de seus enormes bancos de dados de pilotos e driver. A Uber afirmou que “armazenou” com segurança as informações pessoais, usando práticas de segurança padrão, em todo o setor e comercialmente razoáveis, como criptografia, firewalls e SSL (camadas de soquete seguro) … ””.

Se os consumidores expressarem relutância em fornecer dados pessoais, os representantes de atendimento ao cliente atingiram suas preocupações prometendo que o Uber era “vigilante extra” e que suas informações “serão armazenadas com segurança e usadas apenas para fins que você autorizou. Utilizamos a tecnologia e os serviços mais atualizados para garantir que nenhum deles seja comprometido”.

É isso que o Uber disseMas o que estava acontecendo nos bastidores? De acordo com o reclamaçãoApesar da promessa de monitoramento “em andamento” por especialistas em segurança de dados, o sistema Uber implementado em dezembro de 2014 não foi projetado ou com equipe para monitorar efetivamente os dados que os trabalhadores da Uber estavam acessando, então a empresa o abandonou. De agosto de 2015 até maio de 2016, a Uber não acompanhou de maneira oportuna em alertas sobre o possível uso indevido das informações pessoais dos consumidores. Por um período específico de seis meses, o Uber monitorou apenas o acesso às informações da conta de um grupo selecionado. Quem? Certos usuários de alto perfil, incluindo executivos do Uber.

A FTC também alega que o Uber se envolveu em práticas que, juntas, não forneceram segurança razoável para informações pessoais no serviço de armazenamento em nuvem. Você vai querer ler o reclamação Para detalhes, mas de acordo com a FTC, o Uber deixou todos os programas e engenheiros que acessavam o serviço de armazenamento em nuvem usarem uma única chave de acesso que fornecia privilégios completos do administrador sobre tudo o que o Uber armazenado lá, falhou em restringir o acesso com base nas funções de trabalho dos funcionários, falhou em exigir autenticação multi-fator para o acesso e informações sensíveis em outras palavras, em outras palavras, em outras palavras, Além disso, até setembro de 2014, o Uber não implementou o treinamento e orientação razoável de segurança e nem sequer tinha um programa de segurança da informação por escrito. De acordo com a denúncia, o Uber poderia ter impedido essas falhas usando medidas prontamente disponíveis de baixo custo.

Qual foi o resultado? Em maio de 2014, um intruso usou uma chave de acesso que um engenheiro da Uber havia publicado publicamente em um site de compartilhamento de código para acessar os nomes e números da carteira de motorista de 100.000 drivers da Uber, além de algumas informações de conta bancária e números de seguridade social. A FTC diz que o Uber não descobriu a violação por quase quatro meses.

O acordo proposto Proíbe o Uber de deturpar suas práticas de privacidade e segurança. Também exige que o Uber estabeleça um programa abrangente de privacidade e obtenha auditorias independentes de terceiros a cada dois anos nos próximos 20 anos. Você pode registrar um comentário público sobre o acordo até 15 de setembro de 2017.

Se você ou seus clientes coletarem as informações pessoais dos consumidores, você desejará ler as alegações para uma explicação detalhada do que a FTC diz que o Uber fez (e não fez) que tornou enganosos as reivindicações de privacidade e segurança da empresa. Mas o principal argumento do reclamação As alegações se resumem a um princípio não surpreendente. Os consumidores esperam que todas as empresas-de mamãe e pop de tijolos até gigantes inovadores de tecnologia-que cumpram suas promessas de privacidade e segurança se eles armazenam informações pessoais dos consumidores em seus próprios sistemas ou em serviços em nuvem de terceiros. Não há exceções.

Leia comece com a segurança dos fundamentos e siga nosso blog em andamento com a série de blogs de segurança para um mergulho mais profundo.