Quanta informação o Uber tem sobre seus passageiros e motoristas? Bastante. A FTC acaba de anunciar um acordo abordando acusações de que a empresa alegou falsamente monitorar de perto o acesso interno às informações pessoais dos consumidores de forma contínua. A FTC também alega que a Uber não cumpriu a sua promessa de fornecer segurança razoável aos dados dos consumidores.
A Uber coleta e mantém informações confidenciais sobre seus passageiros – por exemplo, nomes, endereços, fotos de perfil e registros detalhados de viagem, incluindo geolocalização. Quando as pessoas se inscrevem para ser motoristas do Uber, a empresa também coleta muitos dados – números de Seguro Social, números de carteira de motorista, números de contas bancárias, registros de carros e assim por diante.
A história por trás da FTC reclamação remonta pelo menos a 2014. Foi quando a empresa foi alvo de reportagens alegando que funcionários do Uber acessaram indevidamente informações pessoais dos passageiros. Como os consumidores reagiram? Não está bem.
Para responder à polêmica, a Uber postou esta declaração em seu site:
A Uber tem uma política rígida que proíbe todos os funcionários, em todos os níveis, de acessar os dados de um passageiro ou motorista. A única exceção a esta política é para um conjunto limitado de fins comerciais legítimos. Nossa política foi comunicada a todos os funcionários e contratados. . . .
A política também deixa claro que o acesso às contas de passageiros e motoristas está sendo monitorado de perto e auditado continuamente por especialistas em segurança de dados, e quaisquer violações da política resultarão em ações disciplinares, incluindo a possibilidade de rescisão e ação legal.
Como o Uber armazenou algumas das informações confidenciais em sua posse? A Uber usou um conhecido serviço de armazenamento em nuvem de terceiros para manter grandes quantidades dele, incluindo backups de seus enormes bancos de dados de passageiros e motoristas. A Uber alegou que “armazenava com segurança” informações pessoais, usando “práticas de segurança padrão, comercialmente razoáveis, em todo o setor, como criptografia, firewalls e SSL (Secure Socket Layers). . . .”
Se os consumidores manifestaram relutância em fornecer dados pessoais, os representantes do serviço de atendimento ao cliente amenizaram as suas preocupações prometendo que a Uber estava “extremamente vigilante” e que as suas informações “serão armazenadas de forma segura e utilizadas apenas para os fins que você autorizou. Usamos a tecnologia e os serviços mais atualizados para garantir que nada disso seja comprometido.”
Isso é o que o Uber dissemas o que estava acontecendo nos bastidores? De acordo com o reclamaçãoapesar da promessa de monitorização “contínua” por especialistas em segurança de dados, o sistema que a Uber implementou em dezembro de 2014 não foi concebido nem equipado para monitorizar eficazmente os dados a que os trabalhadores da Uber acediam, pelo que a empresa o abandonou. De agosto de 2015 a maio de 2016, a Uber não acompanhou em tempo hábil os alertas relativos ao possível uso indevido de informações pessoais dos consumidores. Durante um período específico de seis meses, a Uber monitorou apenas o acesso às informações da conta de um grupo selecionado. Quem? Certos usuários importantes, incluindo executivos do Uber.
A FTC também alega que a Uber se envolveu em práticas que, em conjunto, não proporcionaram segurança razoável às informações pessoais no serviço de armazenamento em nuvem. Você vai querer ler o reclamação para obter detalhes, mas de acordo com a FTC, o Uber permitiu que todos os programas e engenheiros que acessassem o serviço de armazenamento em nuvem usassem uma única chave de acesso que fornecia privilégios totais de administrador sobre tudo o que o Uber armazenava lá, não conseguiu restringir o acesso com base nas funções de trabalho dos funcionários, não conseguiu exigem autenticação multifatorial para acesso e armazenam informações confidenciais em texto claro e legível – em outras palavras, não criptografado. Além do mais, até setembro de 2014, a Uber não implementou treinamento e orientação de segurança razoáveis e nem sequer tinha um programa escrito de segurança da informação. De acordo com a denúncia, a Uber poderia ter evitado essas falhas usando medidas de baixo custo prontamente disponíveis.
Qual foi o resultado? Em maio de 2014, um intruso usou uma chave de acesso que um engenheiro da Uber publicou publicamente num site de partilha de códigos para aceder aos nomes e números de carta de condução de 100 mil motoristas da Uber, bem como algumas informações de contas bancárias e números de Segurança Social. A FTC diz que o Uber não descobriu a violação por quase quatro meses.
O acordo proposto proíbe a Uber de deturpar suas práticas de privacidade e segurança. Também exige que a Uber implemente um programa de privacidade abrangente e obtenha auditorias independentes de terceiros a cada dois anos durante os próximos 20 anos. Você pode enviar um comentário público sobre o acordo até 15 de setembro de 2017.
Se você ou seus clientes coletam informações pessoais de consumidores, você vai querer ler os pedidos para obter uma explicação detalhada do que a FTC diz que o Uber fez (e não fez) que tornou enganosas as alegações de privacidade e segurança da empresa. Mas a principal conclusão do reclamação alegações se resumem a um princípio que não surpreende. Os consumidores esperam que todas as empresas – desde as famílias tradicionais até aos gigantes tecnológicos inovadores – cumpram as suas promessas de privacidade e segurança, quer armazenem informações pessoais dos consumidores nos seus próprios sistemas ou em serviços cloud de terceiros. Não há exceções.
Leia Comece com segurança para conhecer os fundamentos e siga nossa série contínua de blogs Stick with Security para se aprofundar mais.