In de in augustus 2017 voorgestelde toestemmingsovereenkomst met Uber beweerde de FTC onder meer dat de onredelijke beveiligingspraktijken van het bedrijf resulteerden in een datalek in mei 2014. Maar er zit nu meer in het verhaal. Volgens de FTC heeft Uber in het najaar van 2016 opnieuw te maken gehad met een inbreuk – precies midden in het niet-openbare onderzoek van de FTC – maar heeft zij dit pas in november 2017 aan de FTC bekendgemaakt. Om dit probleem aan te pakken heeft de FTC zich teruggetrokken uit de oorspronkelijke schikking met Uber en een nieuwe voorgestelde schikking aangekondigd. Het is het verhaal achter dat verhaal waar uw bedrijf meer over wil weten.
Naast een telling over misleidende toezeggingen die Uber aan consumenten heeft gedaan in reactie op berichten dat werknemers toegang hadden tot de persoonlijke gegevens van passagiers, de klacht van de FTC van augustus 2017 omvatte een tweede telling met betrekking tot beveiligingsfouten bij Uber’s gebruik van een cloudopslagdienst van derden. Ondanks de uitgebreide beveiligingsclaims van het bedrijf, beschuldigde de FTC ervan dat een reeks beslissingen en weglatingen van Uber – bij elkaar genomen – resulteerden in een onredelijke beveiliging van de persoonlijke gegevens die Uber op die dienst had opgeslagen.
Van de tekortkomingen die de FTC aanvocht, bleek er één bijzonder schadelijk: het beleid van Uber om zijn personeel toe te staan één enkele toegangssleutel te gebruiken die volledige beheerdersrechten verleende voor de gevoelige gegevens die Uber in duidelijke, niet-versleutelde tekst op die cloudservice had opgeslagen. Waarom was die beslissing zo noodlottig? Want toen een Uber-ingenieur publiekelijk een toegangssleutel plaatste op GitHub, een site voor het delen van codes die populair is bij softwareontwikkelaars, gebruikte een indringer die backstage-pas voor volledige toegang om persoonlijke gegevens van meer dan 100.000 mensen te bemachtigen.
Die inbreuk uit mei 2014 werd aangehaald in de oorspronkelijke actie van de FTC tegen Uber. Uber kreeg echter in het najaar van 2016 opnieuw te maken met een inbreuk, die ook voortkwam uit lakse beveiligingskeuzes die Uber maakte bij het gebruik van de cloudopslagdienst van derden. Opnieuw gebruikten indringers een toegangssleutel die een Uber-ingenieur op GitHub had geplaatst. Deze keer werd de sleutel naar een privé GitHub-repository gepost. Uber gaf zijn technici echter toegang tot de GitHub-repository’s van het bedrijf via de individuele accounts van technici, die doorgaans gekoppeld waren aan persoonlijke e-mailadressen. Uber verbood zijn technici niet om inloggegevens te hergebruiken en vereiste niet dat ze multi-factor authenticatie inschakelden bij toegang tot de GitHub-repository’s van het bedrijf. De indringers zeiden dat ze toegang hadden verkregen door wachtwoorden te gebruiken die bij andere grote datalekken aan het licht waren gekomen. In een periode van één maand gebruikten indringers die toegangssleutel in platte tekst om 25,6 miljoen namen en e-mailadressen, 22,1 miljoen namen en mobiele telefoonnummers, en 607.000 namen en rijbewijsnummers van Amerikaanse Uber-passagiers en -chauffeurs te downloaden.
Uber hoorde van de inbreuk op 14 november 2016, toen een aanvaller contact opnam met het bedrijf en een uitbetaling van zes cijfers eiste. Uber betaalde $100.000 via de derde partij die het “bug bounty”-programma van Uber beheert. Veel bedrijven hebben bugbountyprogramma’s om beloningen uit te reiken voor de verantwoorde openbaarmaking van ernstige beveiligingsproblemen. Maar in tegenstelling tot een legitieme bugpremie was dit een Uber-uitbetaling aan dezelfde aanvallers die kwaadwillig misbruik maakten van de kwetsbaarheid om persoonlijke informatie over miljoenen mensen te stelen.
Uber heeft de inbreuk pas op 21 november 2017 aan de getroffen consumenten bekendgemaakt, meer dan een jaar nadat het bedrijf ervan op de hoogte was gebracht. Bovendien vond de inbreuk in het najaar van 2016 plaats terwijl Uber in gesprek was met de FTC over haar onderzoek naar de inbreuk van mei 2014, die ook betrekking had op de praktijken van het bedrijf voor het beveiligen van consumentengegevens die zijn opgeslagen op de cloudservice van derden. Ondanks de dreiging van dat onderzoek, vertelde Uber de FTC pas in november 2017 over de tweede inbreuk.
Wat is het resultaat van deze openbaring? Wanneer de FTC een administratieve schikking aankondigt, wordt de voorgestelde toestemmingsovereenkomst gedurende 30 dagen bewaard voor openbaar commentaar. Na bestudering van de opmerkingen aanvaardt de FTC de bestelling als definitief of niet. In dit geval heeft de FTC de voorgestelde schikking met Uber ingetrokken en gaat zij een overeenkomst aan nieuwe overeenkomst dat zal ook gedurende 30 dagen worden vastgelegd voor openbaar commentaar vanaf vandaag tot en met 14 mei 2018. De FTC zal dan beslissen of zij zich moet terugtrekken uit de nieuwe overeenkomst of deze als definitief moet accepteren.
Wat is er anders aan het nieuwe voorgestelde klacht en bestelling? De klacht bevat een extra sectie waarin de beschuldigingen met betrekking tot het datalek in de herfst van 2016 worden beschreven. Het voorgestelde besluit bevat een aantal aanvullende bepalingen die bedoeld zijn om iets te doen aan wat er in deze zaak is gebeurd en om consumenten in de toekomst te beschermen. Je wilt de volgorde voor de details, maar hier zijn enkele manieren waarop het opmerkelijk breder is.
Het in augustus 2017 voorgestelde bevel zou Uber verplicht hebben een alomvattend privacyprogramma te implementeren. De nieuwe order vereist dat het programma ook aandacht besteedt aan: 1) veilig softwareontwerp, -ontwikkeling en -testen, inclusief toegangssleutelbeheer en veilige cloudopslag; 2) hoe Uber rapporten over beveiligingsproblemen van derden beoordeelt en erop reageert, inclusief het bugbountyprogramma; en 3) preventie, detectie en reactie op aanvallen, inbraken of systeemstoringen. Volgens een nieuwe bepaling moet Uber een rapport indienen bij de FTC over elke gebeurtenis waarin het bedrijf een Amerikaanse federale, staats- of lokale overheidsinstantie op de hoogte moet stellen van de ongeoorloofde toegang tot consumenteninformatie. En de voorzieningen voor rapportage en archivering zijn uitgebreid om beter in de gaten te houden wat Uber van plan is, inclusief de werking van zijn bugbounty-programma en de communicatie met andere wetshandhavers.
