La Comisión Federal de Comercio quiere limitar la cantidad de información personal que Drizly puede recopilar como parte de las acciones de cumplimiento que propone contra el mercado y su director general. Según la FTC, el servicio de entrega de alcohol que Uber había comprado en 2021 y su director ejecutivo, James Cory Rellas, fueron alertados sobre problemas de seguridad en 2018. La comisión descubrió que no habían protegido adecuadamente la información de sus usuarios. lo que permitió una violación de datos en 2020 que expuso los datos de 2,5 millones de usuarios.
Según la queja original de la FTC, un empleado de Drizly publicó los inicios de sesión de la empresa para su cuenta en la nube de Amazon Web Services (AWS) en GitHub en 2018. Drizly almacena los detalles de los usuarios, como sus correos electrónicos, direcciones postales, números de teléfono e incluso su número único. identificaciones de dispositivos, información de geolocalización y cualquier otro dato comprado a terceros que se pueda vincular a ellos en AWS. Los piratas informáticos pudieron usar esos inicios de sesión para infiltrarse en los servidores de Drizly y usarlos para extraer criptomonedas.
Si bien Drizly recuperó el control al cambiar su información de inicio de sesión, la FTC dice que no implementó «garantías razonables» para proteger a sus usuarios y abordar sus problemas de seguridad a pesar de afirmar públicamente que lo había hecho. En 2020, un pirata informático pudo ingresar a la cuenta de un empleado y acceder al GitHub de la empresa. Luego piratearon la base de datos de Drizly y robaron la información personal de 2,5 millones de clientes, que desde entonces se había puesto a la venta en al menos dos sitios web diferentes en la web oscura.
La FTC dice que esos eventos fueron posibles gracias a las malas prácticas de seguridad de Drizly, como no exigir a los empleados que usaran dos factores para GitHub, donde almacenaba la información de inicio de sesión. Drizly tampoco limitó el acceso de los trabajadores a los datos personales de los usuarios, agrega la FTC, y no tenía un alto ejecutivo que supervisara sus prácticas de seguridad.
Según las órdenes propuestas por la FTC, Drizly tendrá que destruir todos los datos personales que haya recopilado previamente y que no sean necesarios para poder prestar sus servicios. También deberá abstenerse de recopilar datos innecesarios en el futuro y deberá divulgar públicamente la información que requiere de los usuarios en su sitio web. Además, tendrá que implementar un programa integral de seguridad y nombrar un ejecutivo para supervisar sus operaciones.
La comisión también emitió órdenes que se aplican personalmente a Rellas debido al papel que desempeñó al presidir las laxas prácticas de seguridad de Drizly. Si Rellas decide dejar el servicio de entrega de alcohol, aún deberá implementar un programa de seguridad de la información en futuras empresas donde asuma el rol de director ejecutivo, propietario mayoritario o alto ejecutivo involucrado en seguridad. Como el poste de washington señala, la FTC rara vez señaló a ejecutivos en casos similares de violación de la seguridad en el pasado, y esto indica un nuevo enfoque en el manejo de empresas con medidas de seguridad inadecuadas.
Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC, dijo en un comunicado:
«Nuestra orden propuesta contra Drizly no solo restringe lo que la empresa puede retener y cobrar en el futuro, sino que también garantiza que el director ejecutivo enfrente las consecuencias por el descuido de la empresa. Los directores ejecutivos que toman atajos en materia de seguridad deben tomar nota».
La FTC publicará estas órdenes propuestas pronto y estarán abiertas para comentarios públicos durante 30 días antes de que la comisión decida si las hará oficiales.
1. @FTC ha tomado medidas contra @Drizly (una subsidiaria de @Uber) y su director ejecutivo, James Cory Rellas, por fallas de seguridad que llevaron a una violación de datos que expuso la información personal de alrededor de 2,5 millones de consumidores. https://t.co/jQCtn9DU4C
— Lina Khan (@linakhanFTC) 24 de octubre de 2022
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.