FTC cerca di penalizzare Drizly e il suo CEO per una violazione che ha esposto i dati di 2,5 milioni di utenti

La Federal Trade Commission vuole limitare la quantità di informazioni personali che Drizly può raccogliere come parte delle azioni esecutive che è proponendo contro il mercato e il suo CEO. Secondo la FTC, il servizio di consegna di alcolici che Uber aveva acquistato nel 2021 e il suo amministratore delegato, James Cory Rellas, sono stati avvisati di problemi di sicurezza già nel 2018. La commissione ha scoperto che non erano riusciti a proteggere adeguatamente le informazioni dei propri utenti, che ha consentito una violazione dei dati nel 2020 che ha esposto i dati di 2,5 milioni di utenti.

Sulla base del reclamo originale della FTC, un dipendente Drizly ha pubblicato i dati di accesso dell’azienda per il suo account cloud Amazon Web Services (AWS) su GitHub nel 2018. Drizly memorizza i dettagli degli utenti, come e-mail, indirizzi postali, numeri di telefono e persino i loro dati univoci identificativi del dispositivo, informazioni sulla geolocalizzazione e qualsiasi altro dato acquistato da terze parti che può essere ricollegato ad essi su AWS. Gli hacker sono stati in grado di utilizzare questi accessi per infiltrarsi nei server di Drizly e usarli per estrarre criptovaluta.

Mentre Drizly ha ripreso il controllo modificando le sue informazioni di accesso, la FTC afferma di non aver implementato “protezioni ragionevoli” per proteggere i suoi utenti e per affrontare i suoi problemi di sicurezza nonostante abbia affermato pubblicamente di averlo fatto. Nel 2020, un hacker è stato in grado di entrare nell’account di un dipendente e accedere al GitHub dell’azienda. Hanno quindi violato il database di Drizly e hanno rubato le informazioni personali di 2,5 milioni di clienti, che da allora erano state offerte in vendita su almeno due diversi siti Web del dark web.

L’FTC afferma che quegli eventi sono stati resi possibili dalle scarse pratiche di sicurezza di Drizly, come non richiedere ai dipendenti di utilizzare due fattori per GitHub, dove memorizzava le informazioni di accesso. Inoltre, Drizly non ha limitato l’accesso dei lavoratori ai dati personali degli utenti, aggiunge la FTC, e nessun dirigente senior ha supervisionato le sue pratiche di sicurezza.

In base agli ordini proposti dalla FTC, Drizly dovrà distruggere tutti i dati personali precedentemente raccolti che non sono necessari per poter fornire i suoi servizi. Dovrà inoltre astenersi dal raccogliere dati non necessari in futuro e dovrà divulgare pubblicamente le informazioni richieste dagli utenti sul proprio sito web. Inoltre, dovrà attuare un programma di sicurezza completo e nominare un dirigente per supervisionare le sue operazioni.

La commissione ha anche emesso ordini che si applicano personalmente a Rellas a causa del ruolo che ha svolto nel presiedere alle pratiche di sicurezza lassiste di Drizly. Se Rellas decide di lasciare il servizio di consegna di alcolici, gli sarà comunque richiesto di implementare un programma di sicurezza delle informazioni nelle future aziende dove assume il ruolo di CEO, proprietario di maggioranza o dirigente senior coinvolto nella sicurezza. Come Il Washington Post osserva che in passato la FTC raramente ha individuato dirigenti in simili casi di violazione della sicurezza, e questo indica un nuovo approccio alla gestione delle aziende con misure di sicurezza inadeguate.

Samuel Levine, Direttore del Bureau of Consumer Protection della FTC, ha dichiarato in una dichiarazione:

“Il nostro ordine proposto contro Drizly non solo limita ciò che l’azienda può trattenere e raccogliere in futuro, ma assicura anche che l’amministratore delegato debba affrontare le conseguenze per la negligenza dell’azienda. Gli amministratori delegati che prendono scorciatoie sulla sicurezza dovrebbero prenderne nota”.

La FTC pubblicherà presto questi ordini proposti e saranno aperti al commento pubblico per 30 giorni prima che la commissione decida se li renderà ufficiali.

Tutti i prodotti consigliati da Engadget sono selezionati dalla nostra redazione, indipendente dalla nostra casa madre. Alcune delle nostre storie includono link di affiliazione. Se acquisti qualcosa tramite uno di questi link, potremmo guadagnare una commissione di affiliazione. Tutti i prezzi sono corretti al momento della pubblicazione.

Leave a Comment