In zijn voorgestelde toestemmingsovereenkomst met Uber heeft de FTC onder andere geklaagd dat de irrationele beschermingspraktijk van het bedrijf in mei 2014 werd geschonden. Het verhaal heeft echter veel meer. Volgens de FTC heeft Uber een andere overtreding meegemaakt in het midden van het FTC -onderzoek naar niet -productie – maar het publiceerde pas in november 2017. Om dit probleem op te lossen, trok FTC zich terug uit Uber en met zijn oorspronkelijke regeling Kondigde een nieuwe voorgestelde regeling aanDe Dit is het verhaal achter het verhaal dat graag over uw bedrijf zou willen weten.
Naast een berekening van de frauduleuze garanties dat Uber toegankelijk is geweest voor het rapport dat toegang heeft tot de persoonlijke informatie van de werknemers, klaagt FTC’s augustus 2017 een tweede telling op het gebruik van Uber bij het gebruik van de cloudopslagservice van de derde partij. Ondanks de brede beveiligingsclaim van het bedrijf, beschuldigde de FTC dat de beslissing van Uber en heeft de in die service opgeslagen persoonlijke gegevens – wanneer samen genomen – uitgesloten – onredelijke bescherming voor Uber.
Een van de uitgedaagde ronden FTC was bijzonder schadelijk: Uber -personeel dat een enkele toegangssleutel toestaat om een enkele toegangssleutel te gebruiken die volledige administratiefaciliteiten biedt op Uber, opgeslagen in duidelijke, onvrijwillige teksten Uber. Waarom was die beslissing zo ongelukkig? Omdat wanneer een Uber-ingenieur publiekelijk een toegangssleutel plaatste op een populaire site voor code-delen Githob, een indringer alle toegangsbackstage gebruikte om persoonlijke gegevens over meer dan 100.000 mensen te pakken.
Die overtreding van mei 2014 werd geciteerd in het oorspronkelijke werkwoord van FTC tegen Uber. Uber heeft echter een andere overtreding meegemaakt in het najaar van 2016, dat ook is afgeleid van de lakse beschermingsvoorkeuren van Uber om cloudopslagdiensten op de derde partij te gebruiken. Nogmaals, indringers gebruikten een toegangssleutel die een Uber -ingenieur Githube plaatste. Deze keer werd de sleutel gepost op een privé -guithab -repository. Uber staat zijn ingenieurs echter in staat om toegang te krijgen tot de Gitab -opslag van het bedrijf via verschillende accounts, die meestal gebonden zijn aan persoonlijke e -mailadressen. Uber verbiedt de certificaten van zijn ingenieurs niet van hergebruik en het bedrijf hoeft geen multi-factor authenticatie mogelijk te maken bij toegang tot de Githab-opslag. De indringers zeiden dat ze toegang kregen met behulp van wachtwoorden die zijn gepubliceerd in andere grote gegevensovertredingen. Gedurende een maand gebruikten de indringers de toegang tot de toegang tot de gewone tekst om 25,6 miljoen namen en e-mailadressen, 22,1 miljoen namen en mobiele telefoonnummers en 607.000 namen en US Uber Rider en rijbewijsnummer te downloaden.
Uber leerde over de overtreding op 7 november 2012, toen een aanvaller contact opnam met het bedrijf dat een betaling van zes afbeeldingen eiste. Uber heeft $ 100.000 verstrekt via de derde partij die het “Bug Bounty” -programma van Uber exploiteert. Veel organisaties hebben bug -bounty -programma’s voor het toekennen van een prijs voor de verantwoorde publicatie van ernstige beveiligingszwakte. In tegenstelling tot de gratie van de juridische bug, was het echter een Uber -uitbetaling aan dezelfde indringers die de zwakte van het stelen van persoonlijke informatie over miljoenen mensen vervuilden.
Uber slaagde er niet in een overtreding aan de getroffen klanten te onthullen tot 21 november 2017, meer dan een jaar nadat het bedrijf erover had geleerd. Bovendien werd de val geschonden op 28 mei, die werd besproken op 25 mei schendingen met de Uber FTC, die ook verband houdt met de praktijk van de organisatie voor consumentengegevens die worden beschermd door de cloudservice van derden. Ondanks dit onderzoek rapporteerde Uber de tweede overtreding niet aan de FTC tot november 2017.
Wat is deze openbaring verhogen? Toen de FTC de administratieve regeling aankondigde, werd de voorgestelde toestemmingsovereenkomst 30 dagen in het dossier gehouden voor openbare opmerkingen. Na de opmerkingen te hebben overwogen, accepteert de FTC de volgorde als definitief of niet. FTC heeft bijvoorbeeld zijn voorgestelde schikking met Uber ingetrokken en is een nieuwe overeenkomst aangegaan die vandaag tot 14 mei 2018 wordt geregistreerd voor openbare opmerkingen voor openbare opmerkingen. De FTC zal dan beslissen of deze moet worden ingetrokken uit de nieuwe deal of dat deze moet worden afgerond.
Wat is er anders aan de nieuwe voorgestelde aantijgingen en bestellingen? De klacht bevat een extra categorie die de beschuldigingen beschrijft met betrekking tot de gegevensovertreding van 2016. Er zijn verschillende aanvullende bepalingen die zijn ontworpen om aan te pakken wat er in dit geval is gebeurd in de voorgestelde volgorde en om klanten in de toekomst te beschermen. U wilt graag de volgorde voor specificaties lezen, maar er zijn hier enkele manieren waarop het aanzienlijk uitgebreid is.
Uber vereist dat Uber een breed privacyprogramma voor de voorgestelde bestelling op augustus 2017 implementeert. Het programma moet ook worden gericht aan het programma: 1) het beheren van toegangssleutel en beschermd softwareontwerp, ontwikkelen en testen met beschermde cloudopslag; 2) Hoe Uber reageert en reageert op rapporten van de beveiliging van de derde partij, inclusief het Bug Bounty -programma; En 3) weerstand, identificatie en aanval, penetratie of reactie op het falen van het systeem. Volgens een nieuwe bepaling zal Uber een rapport moeten indienen over een aflevering van FTC waar een federale, staats- of lokale overheidsentiteit in de Verenigde Staten moet worden geïnformeerd over ongeautoriseerde toegang tot klantinformatie. En Uber heeft de rapporten en opnamebepalingen uitgebreid om de sleutel tot de werking van zijn Bug Bounty -programma en andere wetshandhaving nauwlettend in de gaten te houden.
