FTC evalúa "problemas serios" planteados por incumplimiento de Uber

La FTC ahora ha emitido una declaración sobre la violación de datos de Uber que la empresa ocultó durante la mayor parte de un año antes de revelarla finalmente, bajo la nueva directora ejecutiva Dara Khosrowshahi , el martes al pasar detalles a Bloomberg .

Ayer por la tarde, un portavoz de la agencia federal dijo a Reuters : “Estamos al tanto de informes de prensa que describen una violación a finales de 2016 en las acciones de los funcionarios de Uber y Uber después de esa violación. Estamos evaluando de cerca los graves problemas planteados “.

En octubre de 2016, los piratas informáticos robaron datos personales de 57 millones de usuarios y conductores de Uber, reveló, incluidos los nombres, direcciones de correo electrónico y números de teléfonos de 50M Uber jinetes de todo el mundo, e información personal de aproximadamente 7 millones de conductores, incluyendo alrededor de 600,000 licencias de conducir de EE. UU. números.

La declaración de la FTC es significativa porque Uber solo resolvió una investigación previa sobre reclamos de seguridad y privacidad que data de 2014 y 2015 y que llevó a cabo la agencia este verano, cuando acordó 20 años de auditorías externas y cumplió varias condiciones en el consentimiento orden.

La brecha de seguridad que la FTC estaba investigando era mucho más pequeña que la brecha recién divulgada en 2016, con datos personales de aproximadamente 100.000 controladores Uber a los que se accedió durante el incumplimiento de mayo de 2014.

Aunque el vector de ataque utilizado en ambos ataques es esencialmente el mismo: en 2014, un intruso obtuvo acceso a un Almacén de datos de Amazon S3 que Uber estaba utilizando (y almacenando datos en texto plano) después de que uno de sus ingenieros publicara públicamente la clave de GitHub.

Mientras que en 2016 los atacantes también pudieron acceder a un sitio de codificación privado de GitHub utilizado por los ingenieros de software de Uber para obtener credenciales de inicio de sesión y usarlas para acceder a los datos almacenados en una cuenta de Amazon Web Services, donde desenterraron un archivo de datos de piloto y conductor.

El hecho de que Uber permitió que ocurrieran no uno, sino dos ataques, espaciados por años, porque los ingenieros pusieron claves de acceso en un lugar de acceso público sugiere que la seguridad apenas se estaba considerando, y mucho menos se priorizaba.

La orden de consentimiento de la FTC que resolvió las quejas de 2014 y 2015 prohibió a Uber falsificar la forma en que protege la privacidad, confidencialidad, seguridad o integridad de la información personal que maneja y almacena.

Sin embargo, casi de inmediato, Uber firmó el pedido que probablemente habría violado el acuerdo, sin haber revelado aún (a la Comisión Federal de Comercio (Federal Trade Commission, FTC) oa alguien ajeno a la compañía) la brecha mucho mayor de 2016. Y las violaciones de las órdenes de consentimiento de la FTC pueden dar como resultado la emisión de sanciones civiles.

“Parece que violó la orden de consentimiento de la FTC antes de que la tinta se secara”, dijo a CNET un ex fiscal federal de delitos cibernéticos ahora en la firma Ballard Spahr, Ed McAndrew.

Nos hemos comunicado con la FTC para preguntar si cree que Uber ha incumplido la orden de consentimiento previo y también si tiene la intención de abrir una investigación formal sobre la violación de 2016, y actualizará esta historia con cualquier respuesta.

Además, aunque en la actualidad Estados Unidos no cuenta con una ley federal que obligue a las empresas a informar al público sobre infracciones de datos, la gran mayoría de los estados ha promulgado estatutos de notificación de incumplimiento , que suelen ser mucho más estrictos que un año completo para divulgar información .

Entonces, es probable que Uber haya violado las leyes estatales al ocultar la violación por tanto tiempo.

Algunos de los datos incumplidos también provienen de mercados fuera de los EE. UU. Y los reguladores en otros mercados pueden ser más estrictos. En la Unión Europea,por ejemplo, una nueva ley entrante en mayo de 2018 traerá un único estándar de notificación de incumplimiento en los 28 Estados miembros de la UE que requerirá que los controladores de datos informen a los reguladores que los datos personales han sido violados dentro de las 72 horas de conocimiento de una intrusión.

Y aunque esa ley no ha entrado en vigor, las expectativas sobre las divulgaciones de violaciones se restablecen para cumplir con el nuevo estándar en toda la UE.

Ayer , por ejemplo, el organismo de control de datos del Reino Unido dijo que la brecha oculta en los datos de Uber “suscita grandes preocupaciones”, y advirtió que las compañías que ocultan deliberadamente infracciones de los reguladores pueden atraer multas más altas.

Haga clic aquí para más información