联邦贸易委员会希望限制 Drizly 可以收集的个人信息量,作为其针对市场及其首席执行官提出的执法行动的一部分。根据 FTC 的说法,优步在 2021 年购买的酒类配送服务及其首席执行官詹姆斯·科里·雷拉斯 (James Cory Rellas) 早在 2018 年就收到了安全问题的警告。委员会发现,他们未能充分保护用户的信息,这导致了 2020 年的数据泄露,暴露了 250 万用户的数据。
根据 FTC 最初的投诉,一名 Drizly 员工于 2018 年在 GitHub 上发布了该公司的亚马逊网络服务 (AWS) 云帐户登录信息。 Drizly 存储用户的详细信息,例如他们的电子邮件、邮政地址、电话号码,甚至他们的唯一身份信息设备标识、地理位置信息和从第三方购买的任何其他数据,这些数据可以在 AWS 上链接回它们。黑客能够使用这些登录信息来渗透 Drizly 的服务器并使用它们来挖掘加密货币。
尽管 Drizly 通过更改其登录信息收回了控制权,但 FTC 表示,尽管公开声称已这样做,但它未能实施“合理的保护措施”来保护其用户并解决其安全问题。 2020 年,一名黑客能够进入员工的账户并访问公司的 GitHub。然后,他们侵入了 Drizly 的数据库,窃取了 250 万客户的个人信息,这些信息已在暗网上至少两个不同的网站上出售。
FTC 表示,这些事件是由 Drizly 糟糕的安全实践造成的,例如不要求员工对存储登录信息的 GitHub 使用双重因素。 FTC 补充说,Drizly 也没有限制员工访问用户的个人数据,并且没有高级管理人员监督其安全实践。
根据 FTC 提议的命令,Drizly 将不得不销毁其之前收集的任何个人数据,这些数据对于提供其服务是不必要的。它还必须避免在未来收集不必要的数据,并且必须在其网站上公开披露它要求用户提供的信息。此外,它还必须实施全面的安全计划,并任命一名高管来监督其运营。
由于他在主持 Drizly 松懈的安全实践中所扮演的角色,委员会还发布了个人适用于 Relas 的命令。如果 Relas 决定离开酒水配送服务,他仍将被要求在未来的公司中实施信息安全计划,在这些公司中,他将担任涉及安全的首席执行官、大股东或高级管理人员的角色。正如 《华盛顿邮报》所指出的,FTC 过去很少在类似的安全漏洞案件中单独挑出高管,这表明在处理安全措施不足的公司时采用了一种新方法。
FTC 消费者保护局局长塞缪尔·莱文在一份声明中表示:
“我们提出的针对 Drizly 的命令不仅限制了公司未来可以保留和收集的内容,而且还确保首席执行官面临公司粗心大意的后果。在安全方面走捷径的首席执行官应该注意。”
FTC 将很快公布这些提议的命令,并在委员会决定是否将其正式发布之前,将在 30 天内公开征求公众意见。
1. @FTC已对@Drizly ( @Uber的子公司)及其首席执行官 James Cory Rellas 采取行动,原因是安全故障导致数据泄露,泄露了大约 250 万消费者的个人信息。 https://t.co/jQCtn9DU4C
— 莉娜汗 (@linakhanFTC) 2022 年 10 月 24 日
原文: https://www.engadget.com/ftc-drizly-breach-action-061722377.html?src=rss