Martedì
21:38:04
Ottobre
25 2022

FTC interviene contro Drizly e il suo CEO James Cory Rellas per errori di sicurezza che hanno esposto i dati di 2,5 milioni di consumatori

L'ordine richiede all'azienda di distruggere i dati non necessari, limita la futura raccolta e conservazione dei dati e vincola il CEO a specifici requisiti di sicurezza dei dati

View 380

word 1.5K read time 7 minutes, 18 Seconds

USALa Federal Trade Commission sta prendendo provvedimenti contro il mercato di alcolici online Drizly e il suo CEO James Cory Rellas per le accuse secondo cui i fallimenti di sicurezza dell'azienda hanno portato a una violazione dei dati che ha esposto le informazioni personali di circa 2,5 milioni di consumatori. Drizly e Rellas sono stati avvisati di problemi di sicurezza due anni prima della violazione, ma non hanno adottato misure per proteggere i dati dei consumatori dagli hacker. L'ordine proposto dall'FTC richiede all'azienda di distruggere i dati non necessari, limita i dati che l'azienda può raccogliere e conservare e vincola Rellas a specifici requisiti di sicurezza dei dati per il suo ruolo nel presiedere a pratiche commerciali illegali.

"Il nostro ordine proposto contro Drizly non solo limita ciò che l'azienda può trattenere e raccogliere in futuro, ma assicura anche che l'amministratore delegato debba affrontare le conseguenze per la negligenza dell'azienda", ha affermato Samuel Levine, direttore dell'Ufficio per la protezione dei consumatori dell'FTC. "I CEO che prendono scorciatoie sulla sicurezza dovrebbero prenderne nota".

Drizly, una sussidiaria di Uber, con sede a Boston, gestisce un mercato online in cui i consumatori maggiorenni possono effettuare ordini ai rivenditori per acquistare birra, vino e alcolici per la consegna. L'azienda raccoglie e archivia sul servizio di cloud computing di Amazon Web Services un'ampia gamma di informazioni personali dei consumatori come e-mail, indirizzi postali, numeri di telefono, identificatori univoci del dispositivo, informazioni di geolocalizzazione e dati acquistati da terze parti.

Secondo la denuncia della FTC, Drizly e Rellas sono stati avvisati di problemi con le procedure di sicurezza dei dati dell'azienda a seguito di un precedente incidente di sicurezza. Nel 2018, un dipendente di Drizly ha pubblicato le informazioni di accesso dell'account di cloud computing aziendale sulla piattaforma di sviluppo software e hosting GitHub. Come risultato di questa rottura della sicurezza, gli hacker sono stati in grado di utilizzare i server di Drizly per estrarre criptovaluta fino a quando l'azienda non ha modificato le informazioni di accesso per il proprio account di cloud computing. Drizly non ha adottato misure per affrontare adeguatamente i suoi problemi di sicurezza, pur affermando pubblicamente di disporre di adeguate protezioni di sicurezza. Due anni dopo, un hacker ha violato l'account di un dipendente, ha avuto accesso alle informazioni di accesso GitHub aziendali di Drizly, ha violato il database dell'azienda e poi ha rubato le informazioni dei clienti.

Nella sua denuncia, la FTC sostiene che Drizly e Rellas:

  • Mancata attuazione delle misure di sicurezza di base: l'FTC ha affermato che, nonostante le dichiarazioni secondo cui la società avesse utilizzato pratiche di sicurezza appropriate per proteggere i dati dei consumatori, Drizly e Rellas non hanno messo in atto misure di salvaguardia ragionevoli per proteggere le informazioni personali raccolte e archiviate. Non richiedeva ai dipendenti di utilizzare l'autenticazione a due fattori per GitHub, limitare l'accesso dei dipendenti ai dati personali, sviluppare politiche di sicurezza scritte adeguate o formare i dipendenti su tali procedure.
  • Informazioni di database critiche archiviate su una piattaforma non protetta: secondo il reclamo della FTC, Drizly ha archiviato le credenziali di accesso su GitHub contrariamente alla guida della piattaforma e agli incidenti di sicurezza ben pubblicizzati che coinvolgono GitHub. Ad esempio, nella sua denuncia del 2018 contro Uber , la FTC ha specificamente pubblicizzato e descritto pratiche di sicurezza scadenti che implicano l'uso dell'account GitHub di Uber che hanno contribuito a una violazione dei dati che ha coinvolto l'app di ridesharing.
  • Trascurato di monitorare la rete per le minacce alla sicurezza: la FTC ha affermato che Drizly non ha incaricato un dirigente senior di garantire che l'azienda stesse mantenendo i suoi dati al sicuro, né ha monitorato la sua rete per tentativi non autorizzati di accesso o rimozione di dati personali.
  • Clienti esposti ad hacker e ladri di identità: in seguito alla violazione dei dati dell'azienda, le informazioni personali raccolte da Drizly sui consumatori sono state messe in vendita su due diversi siti pubblicamente accessibili sul dark web, dove i criminali pubblicano e vendono dati rubati dagli hacker. Ladri di identità e altri attori malintenzionati possono utilizzare tali dati per aprire linee di credito fraudolente o commettere altre frodi. Quando vengono aperti conti non autorizzati a loro nome, i consumatori possono subire danni finanziari contraendo debiti e danneggiando il loro credito, ha affermato la FTC.

Azione di rinforzo

L'ordinanza proposta contro Drizly e Rellas include diversi requisiti volti a garantire che adottino misure per affrontare i problemi delineati nella denuncia della FTC. In base all'ordine FTC proposto , Drizly e Rellas sono tenuti a:

  • Distruggi i dati non necessari: #Drizly è tenuto a distruggere tutti i dati personali raccolti che non sono necessari per fornire prodotti o servizi ai consumatori. Deve inoltre documentare e riferire alla Commissione quali dati ha distrutto.
  • Limitare la futura raccolta di dati: in futuro, Drizly deve astenersi dal raccogliere o archiviare informazioni personali a meno che non sia necessario per scopi specifici delineati in un programma di conservazione. Deve inoltre specificare pubblicamente sul proprio sito Web le informazioni raccolte e il motivo per cui tale raccolta di dati è necessaria.
  • Implementare un programma di sicurezza delle informazioni: Drizly è tenuto ad attuare un programma completo di sicurezza delle informazioni e stabilire misure di sicurezza per proteggersi dagli incidenti di sicurezza descritti nel reclamo. Ciò include misure come la formazione sulla sicurezza per i propri dipendenti; designare un dipendente di alto livello per supervisionare il programma di sicurezza delle informazioni; attuare controlli su chi può accedere ai dati personali; e richiedere ai dipendenti di utilizzare l'autenticazione a più fattori per accedere a database e altre risorse contenenti dati dei consumatori.

In particolare, l'ordine si applica personalmente a Rellas, che ha presieduto le pratiche lassiste di sicurezza dei dati di Drizly come CEO. Nell'economia moderna, i dirigenti aziendali si spostano spesso da un'azienda all'altra, nonostante le imperfezioni dei loro precedenti. Riconoscendo questa realtà, l'ordine proposto dalla Commissione seguirà Rellas anche se lascia Drizly. In particolare, Rellas dovrà implementare un programma di sicurezza delle informazioni nelle future aziende se si trasferisce in un'azienda che raccoglie informazioni sui consumatori da più di 25.000 persone e dove è un proprietario di maggioranza, un CEO o un alto funzionario con responsabilità di sicurezza delle informazioni.

Questa azione fa parte degli sforzi aggressivi della FTC per garantire che le aziende proteggano i dati dei consumatori e che gli incuranti CEO imparino dai loro fallimenti nella sicurezza dei dati. L'anno scorso, la Commissione ha ottenuto il suo primo ordine che richiedeva a un'azienda di ridurre al minimo la raccolta di dati e ha lavorato negli ordini successivi per garantire che le aziende raccolgano solo ciò di cui hanno bisogno per condurre la propria attività. La Commissione sta inoltre adottando misure per rafforzare la sicurezza a livello di mercato, anche finalizzando gli aggiornamenti alla regola di salvaguardia , pubblicando una dichiarazione politica sulla norma di notifica di violazione della salute e avviando un avviso anticipato della proposta di regolamentazione sulla sorveglianza commerciale e sulle pratiche lassiste in materia di sicurezza dei dati.

La FTC ha votato 4-0 per presentare il reclamo amministrativo proposto e per accettare l'accordo di consenso con Drizly e Rellas. Il commissario Christine Wilson ha votato sì ma ha dissentito in parte sull'inclusione di Rellas come imputato individuale e ha rilasciato una dichiarazione separata . Il presidente Lina M. Khan e il commissario Alvaro Bedoya hanno rilasciato una dichiarazione concordante congiunta e la commissaria Rebecca Kelly Slaughter ha rilasciato una dichiarazione concordante separata .

La FTC pubblicherà presto una descrizione del pacchetto di consenso nel registro federale. L'accordo sarà oggetto di commento pubblico per 30 giorni dopo la pubblicazione nel registro federale, dopodiché la Commissione deciderà se rendere definitivo l'ordine di consenso proposto. Le istruzioni per la presentazione dei commenti appariranno nell'avviso pubblicato. Una volta elaborati, i commenti verranno pubblicati su Regulations.gov.

NOTA: La Commissione emette un reclamo amministrativo quando ha “ragione di ritenere” che la legge sia stata o sia stata violata e alla Commissione sembra che un procedimento sia di interesse pubblico. Quando la Commissione emette un ordine di consenso su base definitiva, ha forza di legge rispetto alle azioni future. Ogni violazione di tale ordine può comportare una sanzione civile fino a $ 46.517.

La Federal Trade Commission lavora per promuovere la concorrenza e proteggere ed educare i consumatori . Scopri di più sugli argomenti dei consumatori su consumer.ftc.gov o segnala frodi, truffe e pratiche commerciali scorrette su ReportFraud.ftc.gov . Segui FTC sui social media , leggi gli avvisi per i consumatori e il blog aziendale e registrati per ricevere le ultime notizie e avvisi FTC .


Source by Redazione


LSNN is an independent editor which relies on reader support. We disclose the reality of the facts, after careful observations of the contents rigorously taken from direct sources, we work in the direction of freedom of expression and for human rights , in an oppressed society that struggles more and more in differentiating. Collecting contributions allows us to continue giving reliable information that takes many hours of work. LSNN is in continuous development and offers its own platform, to give space to authors, who fully exploit its potential. Your help is also needed now more than ever!

In a world, where disinformation is the main strategy, adopted to be able to act sometimes to the detriment of human rights by increasingly reducing freedom of expression , You can make a difference by helping us to keep disclosure alive. This project was born in June 1999 and has become a real mission, which we carry out with dedication and always independently "this is a fact: we have never made use of funds or contributions of any kind, we have always self-financed every single operation and dissemination project ". Give your hard-earned cash to sites or channels that change flags every time the wind blows , LSNN is proof that you don't change flags you were born for! We have seen the birth of realities that die after a few months at most after two years. Those who continue in the nurturing reality of which there is no history, in some way contribute in taking more and more freedom of expression from people who, like You , have decided and want to live in a more ethical world, in which existing is not a right to be conquered, L or it is because you already exist and were born with these rights! The ability to distinguish and decide intelligently is a fact, which allows us to continue . An important fact is the time that «LSNN takes» and it is remarkable! Countless hours in source research and control, development, security, public relations, is the foundation of our basic and day-to-day tasks. We do not schedule releases and publications, everything happens spontaneously and at all hours of the day or night, in the instant in which the single author or whoever writes or curates the contents makes them public. LSNN has made this popular project pure love, in the direction of the right of expression and always on the side of human rights. Thanks, contribute now click here this is the wallet to contribute


Similar Articles / FTC inte...nsumatori