FTC interviene contro Drizly e il suo CEO James Cory Rellas per errori di sicurezza che hanno esposto i dati di 2,5 milioni di consumatori

L'ordine richiede all'azienda di distruggere i dati non necessari, limita la futura raccolta e conservazione dei dati e vincola il CEO a specifici requisiti di sicurezza dei dati

USALa Federal Trade Commission sta prendendo provvedimenti contro il mercato di alcolici online Drizly e il suo CEO James Cory Rellas per le accuse secondo cui i fallimenti di sicurezza dell'azienda hanno portato a una violazione dei dati che ha esposto le informazioni personali di circa 2,5 milioni di consumatori. Drizly e Rellas sono stati avvisati di problemi di sicurezza due anni prima della violazione, ma non hanno adottato misure per proteggere i dati dei consumatori dagli hacker. L'ordine proposto dall'FTC richiede all'azienda di distruggere i dati non necessari, limita i dati che l'azienda può raccogliere e conservare e vincola Rellas a specifici requisiti di sicurezza dei dati per il suo ruolo nel presiedere a pratiche commerciali illegali.

"Il nostro ordine proposto contro Drizly non solo limita ciò che l'azienda può trattenere e raccogliere in futuro, ma assicura anche che l'amministratore delegato debba affrontare le conseguenze per la negligenza dell'azienda", ha affermato Samuel Levine, direttore dell'Ufficio per la protezione dei consumatori dell'FTC. "I CEO che prendono scorciatoie sulla sicurezza dovrebbero prenderne nota".

Drizly, una sussidiaria di Uber, con sede a Boston, gestisce un mercato online in cui i consumatori maggiorenni possono effettuare ordini ai rivenditori per acquistare birra, vino e alcolici per la consegna. L'azienda raccoglie e archivia sul servizio di cloud computing di Amazon Web Services un'ampia gamma di informazioni personali dei consumatori come e-mail, indirizzi postali, numeri di telefono, identificatori univoci del dispositivo, informazioni di geolocalizzazione e dati acquistati da terze parti.

Secondo la denuncia della FTC, Drizly e Rellas sono stati avvisati di problemi con le procedure di sicurezza dei dati dell'azienda a seguito di un precedente incidente di sicurezza. Nel 2018, un dipendente di Drizly ha pubblicato le informazioni di accesso dell'account di cloud computing aziendale sulla piattaforma di sviluppo software e hosting GitHub. Come risultato di questa rottura della sicurezza, gli hacker sono stati in grado di utilizzare i server di Drizly per estrarre criptovaluta fino a quando l'azienda non ha modificato le informazioni di accesso per il proprio account di cloud computing. Drizly non ha adottato misure per affrontare adeguatamente i suoi problemi di sicurezza, pur affermando pubblicamente di disporre di adeguate protezioni di sicurezza. Due anni dopo, un hacker ha violato l'account di un dipendente, ha avuto accesso alle informazioni di accesso GitHub aziendali di Drizly, ha violato il database dell'azienda e poi ha rubato le informazioni dei clienti.

Nella sua denuncia, la FTC sostiene che Drizly e Rellas:

• Mancata attuazione delle misure di sicurezza di base: l'FTC ha affermato che, nonostante le dichiarazioni secondo cui la società avesse utilizzato pratiche di sicurezza appropriate per proteggere i dati dei consumatori, Drizly e Rellas non hanno messo in atto misure di salvaguardia ragionevoli per proteggere le informazioni personali raccolte e archiviate. Non richiedeva ai dipendenti di utilizzare l'autenticazione a due fattori per GitHub, limitare l'accesso dei dipendenti ai dati personali, sviluppare politiche di sicurezza scritte adeguate o formare i dipendenti su tali procedure.

• Informazioni di database critiche archiviate su una piattaforma non protetta: secondo il reclamo della FTC, Drizly ha archiviato le credenziali di accesso su GitHub contrariamente alla guida della piattaforma e agli incidenti di sicurezza ben pubblicizzati che coinvolgono GitHub. Ad esempio, nella sua denuncia del 2018 contro Uber , la FTC ha specificamente pubblicizzato e descritto pratiche di sicurezza scadenti che implicano l'uso dell'account GitHub di Uber che hanno contribuito a una violazione dei dati che ha coinvolto l'app di ridesharing.

• Trascurato di monitorare la rete per le minacce alla sicurezza: la FTC ha affermato che Drizly non ha incaricato un dirigente senior di garantire che l'azienda stesse mantenendo i suoi dati al sicuro, né ha monitorato la sua rete per tentativi non autorizzati di accesso o rimozione di dati personali.

• Clienti esposti ad hacker e ladri di identità: in seguito alla violazione dei dati dell'azienda, le informazioni personali raccolte da Drizly sui consumatori sono state messe in vendita su due diversi siti pubblicamente accessibili sul dark web, dove i criminali pubblicano e vendono dati rubati dagli hacker. Ladri di identità e altri attori malintenzionati possono utilizzare tali dati per aprire linee di credito fraudolente o commettere altre frodi. Quando vengono aperti conti non autorizzati a loro nome, i consumatori possono subire danni finanziari contraendo debiti e danneggiando il loro credito, ha affermato la FTC.

Azione di rinforzo

L'ordinanza proposta contro Drizly e Rellas include diversi requisiti volti a garantire che adottino misure per affrontare i problemi delineati nella denuncia della FTC. In base all'ordine FTC proposto , Drizly e Rellas sono tenuti a:

• Distruggi i dati non necessari: #Drizly è tenuto a distruggere tutti i dati personali raccolti che non sono necessari per fornire prodotti o servizi ai consumatori. Deve inoltre documentare e riferire alla Commissione quali dati ha distrutto.

• Limitare la futura raccolta di dati: in futuro, Drizly deve astenersi dal raccogliere o archiviare informazioni personali a meno che non sia necessario per scopi specifici delineati in un programma di conservazione. Deve inoltre specificare pubblicamente sul proprio sito Web le informazioni raccolte e il motivo per cui tale raccolta di dati è necessaria.

• Implementare un programma di sicurezza delle informazioni: Drizly è tenuto ad attuare un programma completo di sicurezza delle informazioni e stabilire misure di sicurezza per proteggersi dagli incidenti di sicurezza descritti nel reclamo. Ciò include misure come la formazione sulla sicurezza per i propri dipendenti; designare un dipendente di alto livello per supervisionare il programma di sicurezza delle informazioni; attuare controlli su chi può accedere ai dati personali; e richiedere ai dipendenti di utilizzare l'autenticazione a più fattori per accedere a database e altre risorse contenenti dati dei consumatori.

In particolare, l'ordine si applica personalmente a Rellas, che ha presieduto le pratiche lassiste di sicurezza dei dati di Drizly come CEO. Nell'economia moderna, i dirigenti aziendali si spostano spesso da un'azienda all'altra, nonostante le imperfezioni dei loro precedenti. Riconoscendo questa realtà, l'ordine proposto dalla Commissione seguirà Rellas anche se lascia Drizly. In particolare, Rellas dovrà implementare un programma di sicurezza delle informazioni nelle future aziende se si trasferisce in un'azienda che raccoglie informazioni sui consumatori da più di 25.000 persone e dove è un proprietario di maggioranza, un CEO o un alto funzionario con responsabilità di sicurezza delle informazioni.

Questa azione fa parte degli sforzi aggressivi della FTC per garantire che le aziende proteggano i dati dei consumatori e che gli incuranti CEO imparino dai loro fallimenti nella sicurezza dei dati. L'anno scorso, la Commissione ha ottenuto il suo primo ordine che richiedeva a un'azienda di ridurre al minimo la raccolta di dati e ha lavorato negli ordini successivi per garantire che le aziende raccolgano solo ciò di cui hanno bisogno per condurre la propria attività. La Commissione sta inoltre adottando misure per rafforzare la sicurezza a livello di mercato, anche finalizzando gli aggiornamenti alla regola di salvaguardia , pubblicando una dichiarazione politica sulla norma di notifica di violazione della salute e avviando un avviso anticipato della proposta di regolamentazione sulla sorveglianza commerciale e sulle pratiche lassiste in materia di sicurezza dei dati.

La FTC ha votato 4-0 per presentare il reclamo amministrativo proposto e per accettare l'accordo di consenso con Drizly e Rellas. Il commissario Christine Wilson ha votato sì ma ha dissentito in parte sull'inclusione di Rellas come imputato individuale e ha rilasciato una dichiarazione separata . Il presidente Lina M. Khan e il commissario Alvaro Bedoya hanno rilasciato una dichiarazione concordante congiunta e la commissaria Rebecca Kelly Slaughter ha rilasciato una dichiarazione concordante separata .

La FTC pubblicherà presto una descrizione del pacchetto di consenso nel registro federale. L'accordo sarà oggetto di commento pubblico per 30 giorni dopo la pubblicazione nel registro federale, dopodiché la Commissione deciderà se rendere definitivo l'ordine di consenso proposto. Le istruzioni per la presentazione dei commenti appariranno nell'avviso pubblicato. Una volta elaborati, i commenti verranno pubblicati su Regulations.gov.

NOTA: La Commissione emette un reclamo amministrativo quando ha “ragione di ritenere” che la legge sia stata o sia stata violata e alla Commissione sembra che un procedimento sia di interesse pubblico. Quando la Commissione emette un ordine di consenso su base definitiva, ha forza di legge rispetto alle azioni future. Ogni violazione di tale ordine può comportare una sanzione civile fino a $ 46.517.

La Federal Trade Commission lavora per promuovere la concorrenza e proteggere ed educare i consumatori . Scopri di più sugli argomenti dei consumatori su consumer.ftc.gov o segnala frodi, truffe e pratiche commerciali scorrette su ReportFraud.ftc.gov . Segui FTC sui social media , leggi gli avvisi per i consumatori e il blog aziendale e registrati per ricevere le ultime notizie e avvisi FTC .

Source by Redazione