Τον Αύγουστο του 2017 πρότεινε τη συμφωνία συγκατάθεσης με την Uber, η FTC, εκτός από άλλα πράγματα, ισχυρίστηκε ότι οι παράλογες μέθοδοι ασφαλείας της εταιρείας παραβιάστηκαν τον Μάιο του 2014. Αλλά τώρα υπάρχουν περισσότερα στην ιστορία. Σύμφωνα με την FTC, η Uber υπέστη άλλη παραβίαση το φθινόπωρο του 2016 – στη μέση της αντιδημοκρατικής έρευνας της FTC – αλλά δεν αποκάλυψε την FTC μέχρι τον Νοέμβριο του 2017. Για την επίλυση αυτού του ζητήματος, η FTC έχει αποσυρθεί από τον αρχικό του διακανονισμό με την Uber και Ανακοίνωσε έναν νέο προτεινόμενο διακανονισμό. Αυτή είναι η ιστορία πίσω από την ιστορία που η εταιρεία σας θα ήθελε να μάθει.
Απαντώντας σε αυτές τις αναφορές, οι χρήστες βασίζονται επίσης στις προσωπικές πληροφορίες των αναβατών, εκτός από την καταμέτρηση των διαβεβαιώσεων της απάτης της Uber, η καταγγελία του August 2017 της FTC περιλαμβάνει μια άλλη καταμέτρηση σφαλμάτων ασφαλείας στη χρήση της Uber στη χρήση της υπηρεσίας αποθήκευσης cloud τρίτων. Παρά τους ευρέως διαδεδομένους ισχυρισμούς ασφαλείας της εταιρείας, η FTC ισχυρίστηκε ότι όταν έχετε λάβει μαζί – το αποτέλεσμα της παράλογης ασφάλειας για προσωπικά δεδομένα σχετικά με αυτή την υπηρεσία.
Στα ελαττώματα που αμφισβητούν την FTC, μια ιδιαίτερα επιβλαβής αποδείχθηκε: η πολιτική Uber για να χρησιμοποιήσει ένα μόνο κλειδί πρόσβασης για την παροχή πλήρους προνομίων διαχειριστή στα σαφή, μη ενισχυτικά δεδομένα της Uber σχετικά με την υπηρεσία Cloud της Uber. Γιατί ήταν τόσο ατυχής αυτή η απόφαση; Επειδή όταν ένας μηχανικός Uber δημοσίευσε έναν δημοφιλή τοποθεσία κοινής χρήσης κώδικα με προγραμματιστές λογισμικού, ένα κλειδί πρόσβασης στο κοινό στο Gut Hub, ένας ενθουσιώδης χρησιμοποίησε ένα πέρασμα πίσω από το στάδιο όλων των πρόσβασης για να συλλάβει προσωπικά δεδομένα για περισσότερα από 100.000 άτομα.
Αυτή η παραβίαση του Μαΐου του 2014 αναφέρθηκε στην πραγματική διαδικασία FTC κατά της Uber. Ωστόσο, η Uber εξέτασε μια άλλη παραβίαση το φθινόπωρο του 2016, η Uber δημιούργησε επίσης εκλογές ασφαλείας στη χρήση μιας τρίτης υπηρεσίας αποθήκευσης σύννεφων. Για άλλη μια φορά, οι κάτοικοι χρησιμοποίησαν το κλειδί για να αποκτήσουν πρόσβαση στο κλειδί που δημοσίευσε ένας μηχανικός Uber στον κόμβο του εντέρου. Αυτή τη φορά, το κλειδί δημοσιεύτηκε σε ένα ιδιωτικό αποθετήριο Gut Hub. Ωστόσο, η Uber επέτρεψε στους μηχανικούς του να έχουν πρόσβαση στα αποθέματα του Gut Hub της εταιρείας μέσω μεμονωμένων λογαριασμών μηχανικών, οι οποίοι συνήθως συνδέονταν με προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου. Ο Uber δεν απαγόρευε στους μηχανικούς του να επαναχρησιμοποιούν τα διαπιστευτήρια και δεν χρειάστηκε να επιτρέψουν την επαλήθευση πολλαπλών παραγόντων κατά την πρόσβαση στις δεξαμενές του Gut Hub της εταιρείας. Οι διεφθαρμένοι δήλωσαν ότι είχαν πρόσβαση στη χρήση κωδικών πρόσβασης που εκτέθηκαν σε άλλες σημαντικές παραβιάσεις δεδομένων. Μέσα σε ένα μήνα, οι επιβάτες χρησιμοποίησαν αυτό το απλό κλειδί πρόσβασης κειμένου για να κατεβάσετε 25,6 εκατομμύρια ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου, 22,1 εκατομμύρια ονόματα και αριθμούς κινητών τηλεφώνων και 607.000 ονόματα των Uber Uber αναβάτες και οδηγούς και αριθμούς αδειών οδήγησης.
Η Uber ανακάλυψε την παραβίαση στις 14 Νοεμβρίου 2016, όταν ένας εισβολέας ήρθε σε επαφή με την εταιρεία, ζητώντας πληρωμή έξι αριθμών. Η Uber πληρώνει 000 100.000, μέσω ενός τρίτου μέρους που διαχειρίζεται το πρόγραμμα “Big Bounty” της Uber. Πολλές εταιρείες έχουν ένα μεγάλο πρόγραμμα χάριτος για να προσφέρουν βραβεία για σοβαρούς κινδύνους ασφαλείας. Αλλά σε αντίθεση με μια νόμιμη μεγάλη χάρη, ήταν ένας μισθός Uber για τους επιτιθέμενους που εκμεταλλεύτηκαν τον κίνδυνο να κλέβουν προσωπικά στοιχεία για εκατομμύρια ανθρώπους.
Μέχρι τις 21 Νοεμβρίου 2017, η εταιρεία απέτυχε να αποκαλύψει την παραβίαση των προσβεβλημένων χρηστών, περισσότερο από ένα χρόνο για να μάθει για την εταιρεία. Επιπλέον, η πτώση της πτώσης του 2016 ήταν όταν η Uber συζήτησε με την FTC σχετικά με την παραβίαση του Μαΐου του 2014, η οποία σχετίζεται επίσης με τις μεθόδους της εταιρείας για την εξασφάλιση των δεδομένων της τρίτης υπηρεσίας σύννεφων. Παρά το δέλεαρ της έρευνας, η Uber δεν είπε στην FTC για τη δεύτερη παραβίαση μέχρι τον Νοέμβριο του 2017.
Ποιο είναι το πλεονέκτημα αυτής της αποκάλυψης; Όταν η FTC ανακοίνωσε τον διοικητικό διακανονισμό, η προτεινόμενη σύμβαση συγκατάθεσης έχει καταγραφεί για 30 ημέρες για δημόσια σχόλια. Αφού εξέτασε τα σχόλια, η FTC είτε οριστικοποιεί την παραγγελία είτε όχι. Σε αυτό το παράδειγμα, η FTC έχει αποσύρει τον προτεινόμενο διακανονισμό της με την Uber και κάνει μια νέα σύμβαση που θα καταγραφεί για 30 ημέρες για δημόσια σχόλια που ξεκινούν σήμερα, 14 Μαΐου 2018. Στη συνέχεια, η FTC θα αποφασίσει εάν θα πρέπει να αποσυρθεί από τη νέα συμφωνία ή να το δεχτεί.
Ποια είναι η διαφορά μεταξύ μιας νέας προτεινόμενης καταγγελίας και παραγγελίας; Η καταγγελία περιλαμβάνει μια πρόσθετη ενότητα που περιγράφει τις παραβιάσεις δεδομένων του φθινοπώρου 2016. Η προτεινόμενη σειρά περιλαμβάνει αρκετές πρόσθετες διατάξεις που έχουν σχεδιαστεί για την επίλυση των γεγονότων που έχουν προκύψει στην περίπτωση αυτή και για την προστασία των καταναλωτών στο μέλλον. Θα θέλατε να διαβάσετε παραγγελίες για λεπτομέρειες, αλλά εδώ είναι μερικοί τρόποι που είναι ιδιαίτερα ευρύτεροι.
Η προτεινόμενη σειρά τον Αύγουστο του 2017 θα απαιτήσει την εφαρμογή ενός ολοκληρωμένου προγράμματος απορρήτου από την Uber. Το πρόγραμμα πρέπει επίσης να επιλυθεί για τη νέα σειρά: 1) Σχεδιασμός, ανάπτυξη και δοκιμές λογισμικού, συμπεριλαμβανομένης της διαχείρισης κλειδιών πρόσβασης και της ασφαλούς αποθήκευσης σύννεφων. 2) Ο τρόπος με τον οποίο η Uber εξέτασε και ανταποκρίθηκε στην απειλή της τρίτης ασφάλειας, συμπεριλαμβανομένου του προγράμματος Big Grace, και απάντησε σε αυτό. Και 3) την πρόληψη, την ανίχνευση και την αντίδραση σε επιθέσεις, παρεμβολές ή αποτυχίες του συστήματος. Σύμφωνα με μια νέα ρήτρα, η Uber θα πρέπει να υποβάλει έκθεση στην FTC για οποιοδήποτε περιστατικό όπου η εταιρεία πρέπει να ενημερώσει οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση της Ομοσπονδιακής, κρατικής ή τοπικής αυτοδιοίκησης σε οποιαδήποτε στοιχεία χρήστη. Και οι διατάξεις της αναφοράς και της ανώτατης περιόδου εγγραφής έχουν επεκταθεί για να λάβουν έντονη την πορεία του έργου του Uber, συμπεριλαμβανομένης της λειτουργίας του προγράμματος Big Bounty και της επικοινωνίας με άλλες επιβολές του νόμου.
