FTC mengatakan Uber melakukan kesalahan yang salah dengan privasi yang menyesatkan dan janji keamanan

Berapa banyak yang diketahui Uber tentang pengendara dan pengemudi? Terlalu banyak. FTC menyatakan pemukiman baru Ini berkaitan dengan tuduhan yang diklaim perusahaan telah secara konstan memantau akses internal ke informasi pribadi konsumen. FTC juga mengklaim bahwa Uber tidak dapat memenuhi janji untuk memberikan keamanan yang wajar untuk data konsumen.

Uber mengumpulkan dan memelihara informasi sensitif tentang pengendara – misalnya, nama, alamat, gambar profil dan lokasi geografis, termasuk catatan perjalanan terperinci. Ketika orang mendaftar untuk menjadi pengemudi Uber, perusahaan juga mengumpulkan terlalu banyak data – nomor jaminan sosial, nomor SIM, nomor rekening bank, catatan mobil dan sejenisnya.

Kisah di balik FTC keluhan Kembali ke setidaknya 2014. Perusahaan ini menjadi subjek laporan berita yang mengklaim bahwa karyawan Uber memiliki akses ke pengendara secara salah. Bagaimana reaksi konsumen? Tidak bagus.

Untuk menanggapi diskusi, Uber menerbitkan pernyataan ini di situsnya:

Uber memiliki kebijakan ketat yang melarang akses ke data pengemudi atau pengemudi dari semua karyawan dari semua tingkatan. Satu -satunya pengecualian dari kebijakan ini adalah untuk tujuan bisnis yang sah. Kebijakan kami diteruskan ke semua karyawan dan kontraktor. . . .

Kebijakan ini juga jelas bahwa akses ke akun pengemudi dan pengemudi terus dipantau dan diaudit oleh para ahli keselamatan data dan bahwa pelanggaran kebijakan akan mengarah pada hukuman disipliner, termasuk penghentian dan tindakan hukum.

Bagaimana Uber menyimpan beberapa informasi sensitif di tangannya? Uber telah menggunakan layanan penyimpanan cloud -party ketiga yang diketahui untuk melindungi dalam jumlah besar, termasuk cadangan driver besar dan database driver. Uber mengklaim informasi pribadi, “disimpan dengan aman” menggunakan aplikasi keamanan yang wajar secara komersial, seperti enkripsi, firewall, dan SSL (Lapisan Soket Aman), menggunakan aplikasi keamanan yang wajar secara komersial. “

Jika konsumen menyatakan keengganan mereka dalam memberikan data pribadi, perwakilan layanan pelanggan menanggung kekhawatiran mereka dengan menjanjikan bahwa Uber adalah “lebih waspada dan bahwa informasinya akan” disimpan dengan aman dan digunakan hanya untuk tujuan yang Anda wewenang “. Kami menggunakan teknologi dan layanan yang paling up -to -date untuk memastikan bahwa tidak ada yang berada dalam bahaya.

Ini Uber yang dipertanyakanTapi apa yang terjadi di balik layar? Demikian keluhanTerlepas dari janji “berkelanjutan” oleh para ahli keamanan data, sistem yang diterapkan pada bulan Desember 2014 tidak dirancang atau tidak ditunjuk untuk secara efektif memantau data yang diakses oleh pekerja Uber, sehingga perusahaan meninggalkannya. Dari Agustus 2015 hingga Mei 2016, Uber tidak mengikuti peringatan tentang kemungkinan penyalahgunaan informasi pribadi konsumen. Untuk periode enam bulan tertentu, Uber hanya mengikuti akses ke informasi akun dari kelompok yang dibedakan. Dsö? Beberapa pengguna profil tinggi, termasuk manajer Uber.

FTC juga mengklaim bahwa Uber ada dalam aplikasi yang dibahas bersama dan bahwa ia tidak dapat memberikan keamanan yang wajar untuk informasi pribadi dalam layanan penyimpanan cloud. Anda akan ingin membaca keluhan Untuk detailnya, tetapi menurut FTC, Uber memungkinkan semua program dan insinyur yang mencapai layanan penyimpanan cloud untuk menggunakan kunci akses tunggal yang memberikan hak istimewa manajemen penuh pada semua yang disimpan di sana, tidak dapat membatasi akses karyawan ke fungsi bisnis, tidak dapat disimpan dengan identitas multi-faktor dan kata-kata lain untuk akses. Selain itu, hingga September 2014, Uber tidak dapat menerapkan pelatihan dan panduan keamanan yang wajar dan bahkan tidak memiliki program keamanan informasi tertulis. Menurut pengaduan, Uber dapat dengan mudah mencegah kegagalan ini menggunakan langkah -langkah biaya rendah yang ada.

Apa hasilnya? Pada bulan Mei 2014, tamu yang tidak diundang menggunakan kunci akses pada situs berbagi kode untuk mengakses nama dan nomor SIM 100.000 pengemudi Uber, beberapa informasi rekening bank dan nomor jaminan sosial seorang insinyur Uber. FTC mengatakan Uber belum menemukan pelanggaran selama hampir empat bulan.

Penyelesaian yang direkomendasikan Itu melarang uber dari kesalahan diagnosis praktik privasi dan keamanan. Ini juga mengharuskan Uber untuk mengimplementasikan program privasi yang komprehensif dan mengambil inspeksi pihak ketiga yang independen setiap dua tahun selama 20 tahun ke depan. Anda dapat memberikan komentar publik tentang penyelesaian hingga 15 September 2017.

Jika Anda atau pelanggan Anda mengumpulkan informasi pribadi konsumen, Anda akan ingin membaca pertahanan untuk penjelasan terperinci tentang apa yang dikatakan FTC (dan tidak), klaim privasi dan keamanan perusahaan (dan mereka tidak). Tapi paket utama keluhan Klaim didasarkan pada prinsip yang luar biasa. Konsumen mengharapkan Anda untuk memenuhi kerahasiaan dan keamanan menjanjikan bahwa semua bisnis, konsumen, konsumen, dalam sistem mereka atau layanan cloud pihak ketiga, dari batu bata dan mortir hingga raksasa teknologi inovatif. Tidak terkecuali.

Mulailah dengan keselamatan untuk fondasi dan ikuti seri blog keamanan kami dengan tongkat yang berkelanjutan untuk menyelam lebih dalam.