La FTC castiga a Drizly de Uber y a su CEO por filtración de datos en 2020

La Comisión Federal de Comercio está castigando a Drizly, un proveedor de entrega de alcohol propiedad de Uber, por no haber evitado una filtración de datos en 2020 que atrapó a 2,5 millones de consumidores.

De acuerdo a(Se abre en una nueva ventana) a la FTC, Drizly podría haber evitado la violación si los ejecutivos de la empresa hubieran prestado atención a una advertencia anterior en 2018 sobre sus malas prácticas de seguridad. Pero no fue así, lo que resultó en que un pirata informático robara datos de 2,5 millones de clientes, que luego se vendieron en línea.

Drizly ya estuvo de acuerdo(Se abre en una nueva ventana) a un acuerdo de demanda colectiva de $7.1 millones por la violación del año pasado. Pero el lunes, la FTC anunció que había llegado a un acuerdo adicional con la empresa para evitar que vuelva a manejar mal los datos de los usuarios.

La orden requiere que Drizly destruya cualquier dato del consumidor que no necesite, se abstenga de recopilar cualquier otra información innecesaria de los clientes e implemente prácticas integrales de ciberseguridad. Esto incluye hacer cumplir la autenticación multifactor para los empleados y monitorear el acceso a las bases de datos de la empresa.

La orden de la FTC también se destaca al exigirle al CEO de Drizly, Cory Rellas, que obedezca los mismos requisitos si termina al frente de una nueva empresa.

“En la economía moderna, los ejecutivos corporativos se mudan con frecuencia de una compañía a otra, a pesar de las imperfecciones en su historial. Reconociendo esa realidad, la orden propuesta por la Comisión seguirá a Rellas incluso si deja a Drizly”, explica la FTC.

La orden también indica que la FTC está lista para tomar medidas enérgicas contra otras compañías que dejan caer la pelota en la ciberseguridad. “Los directores ejecutivos que toman atajos en materia de seguridad deben tomar nota”, dice Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. (A principios de este año, la FTC emitió(Se abre en una nueva ventana) una orden similar contra CafePress por supuestamente intentar encubrir una violación de datos pasada).

En un comunicado, Drizly simplemente dijo: «Nos tomamos muy en serio la privacidad y la seguridad del consumidor en Drizly, y estamos felices de dejar atrás este evento de 2020». Uber compró la empresa en 2021.

Según la FTC, la empresa fue violada debido a que un ejecutivo reutilizó una contraseña en su cuenta para el repositorio de GitHub de Drizly en 2018. El acceso del ejecutivo al repositorio de GitHub persistió, aunque solo fue necesario para un evento de hackatón de un día. Dos años más tarde, un pirata informático descubrió la contraseña del ejecutivo a partir de una violación de datos separada y la explotó para acceder al repositorio de GitHub. Esto ayudó al hacker a descubrir vulnerabilidades en el software de Drizly para desbloquear más acceso a los sistemas de la empresa.

La FTC dice que Drizly debería haber sabido que las malas prácticas de seguridad de la empresa en torno a GitHub representaban un riesgo. Esto se debe a que, en 2018, otro empleado de Drizly publicó accidentalmente la información de inicio de sesión de la cuenta de computación en la nube de la compañía en su propio repositorio personal de GitHub. Esto llevó a los piratas informáticos a usar las credenciales de inicio de sesión expuestas para extraer criptomonedas en los servidores de Drizly.

«Los propios análisis posteriores a la filtración de datos de Drizly concluyeron que la falta de preparación de seguridad de la empresa, incluidas las fallas para operar un programa de seguridad formal o practicar higiene de seguridad básica, quedó expuesta como resultado de una filtración de datos», denuncia la FTC.(Se abre en una nueva ventana) agrega.