Hoeveel informatie heeft Uber over zijn passagiers en chauffeurs? Veel. De FTC heeft zojuist een schikking aangekondigd het aanpakken van beschuldigingen dat het bedrijf ten onrechte beweerde de interne toegang tot de persoonlijke informatie van consumenten voortdurend nauwlettend in de gaten te houden. De FTC beweert ook dat Uber zijn belofte om redelijke beveiliging van consumentengegevens te bieden niet is nagekomen.
Uber verzamelt en onderhoudt gevoelige informatie over zijn passagiers, bijvoorbeeld namen, adressen, profielfoto’s en gedetailleerde reisgegevens, inclusief geolocatie. Wanneer mensen zich aanmelden als Uber-chauffeur, verzamelt het bedrijf ook veel gegevens: burgerservicenummers, rijbewijsnummers, bankrekeningnummers, autoregistraties en dergelijke.
Het verhaal achter de FTC’s klacht gaat terug tot minstens 2014. Toen was het bedrijf het onderwerp van nieuwsberichten waarin werd beweerd dat Uber-werknemers onrechtmatig toegang hadden gehad tot de persoonlijke informatie van passagiers. Hoe reageerden consumenten? Niet goed.
Om op de controverse te reageren plaatste Uber deze verklaring op zijn site:
Uber heeft een strikt beleid dat alle medewerkers op elk niveau verbiedt toegang te krijgen tot de gegevens van een passagier of chauffeur. De enige uitzondering op dit beleid geldt voor een beperkt aantal legitieme zakelijke doeleinden. Ons beleid is aan alle medewerkers en opdrachtnemers gecommuniceerd. . . .
Het beleid maakt ook duidelijk dat de toegang tot passagiers- en chauffeursaccounts voortdurend nauwlettend wordt gecontroleerd en gecontroleerd door specialisten op het gebied van gegevensbeveiliging, en dat eventuele schendingen van het beleid zullen resulteren in disciplinaire maatregelen, inclusief de mogelijkheid van ontslag en juridische stappen.
Hoe heeft Uber een deel van de gevoelige informatie in zijn bezit opgeslagen? Uber gebruikte een bekende cloudopslagdienst van derden om grote hoeveelheden ervan te onderhouden, inclusief back-ups van zijn enorme databases van passagiers en chauffeurs. Uber beweerde dat het persoonlijke informatie “veilig opsloeg”, met behulp van “standaard, industriebrede, commercieel redelijke beveiligingspraktijken zoals encryptie, firewalls en SSL (Secure Socket Layers)….”
Als consumenten hun onwil uitten om persoonlijke gegevens te verstrekken, konden medewerkers van de klantenservice hun zorgen wegnemen door te beloven dat Uber “extra waakzaam” zou zijn en dat hun informatie “veilig zou worden opgeslagen en alleen zou worden gebruikt voor doeleinden die u hebt geautoriseerd. We gebruiken de meest up-to-date technologie en diensten om ervoor te zorgen dat geen van deze in gevaar komt.”
Dat is wat Uber gezegdmaar wat gebeurde er achter de schermen? Volgens de klachtOndanks de belofte van “voortdurende” monitoring door databeveiligingsspecialisten, was het systeem dat Uber in december 2014 implementeerde niet ontworpen of bemand om effectief de gegevens te monitoren waartoe Uber-werknemers toegang hadden, dus verliet het bedrijf het. Van augustus 2015 tot mei 2016 heeft Uber niet tijdig gevolg gegeven aan waarschuwingen over mogelijk misbruik van persoonlijke gegevens van consumenten. Gedurende een periode van zes maanden controleerde Uber slechts de toegang tot de accountgegevens van een selecte groep. WHO? Bepaalde spraakmakende gebruikers, waaronder Uber-managers.
De FTC beweert ook dat Uber zich schuldig heeft gemaakt aan praktijken die, alles bij elkaar genomen, er niet in slaagden een redelijke beveiliging te bieden voor persoonlijke informatie in de cloudopslagdienst. Je wilt de klacht voor details, maar volgens de FTC liet Uber alle programma’s en technici die toegang hadden tot de cloudopslagdienst één enkele toegangssleutel gebruiken die volledige beheerdersrechten bood voor alles wat Uber daar opsloeg, de toegang niet beperkte op basis van de functie van werknemers, geen multi-factor authenticatie vereiste voor toegang, en gevoelige informatie opslaan in duidelijke, leesbare – met andere woorden, niet-versleutelde – tekst. Bovendien slaagde Uber er tot september 2014 niet in om redelijke beveiligingstrainingen en -richtlijnen te implementeren en beschikte het niet eens over een schriftelijk informatiebeveiligingsprogramma. Volgens de klacht had Uber deze mislukkingen kunnen voorkomen door gebruik te maken van direct beschikbare, goedkope maatregelen.
Wat was het resultaat? In mei 2014 gebruikte een indringer een toegangssleutel die een Uber-ingenieur publiekelijk op een site voor het delen van codes had geplaatst om toegang te krijgen tot de namen en rijbewijsnummers van 100.000 Uber-chauffeurs, evenals tot bepaalde bankrekeninggegevens en burgerservicenummers. De FTC zegt dat Uber de inbreuk al bijna vier maanden niet heeft ontdekt.
De voorgestelde schikking verbiedt Uber om zijn privacy- en beveiligingspraktijken verkeerd voor te stellen. Het vereist ook dat Uber een alomvattend privacyprogramma opzet en de komende twintig jaar elke twee jaar onafhankelijke audits door derden laat uitvoeren. U kunt tot 15 september 2017 een openbare reactie over de schikking indienen.
Als u of uw klanten persoonlijke gegevens van consumenten verzamelen, wilt u de pleidooien lezen voor een gedetailleerde uitleg van wat de FTC zegt dat Uber heeft gedaan (en niet heeft gedaan) waardoor de privacy- en veiligheidsclaims van het bedrijf misleidend zijn geworden. Maar de belangrijkste afhaalmaaltijd van de klacht beschuldigingen komen neer op een niet verrassend principe. Consumenten verwachten van alle bedrijven – van fysieke moeder-en-popbedrijven tot innovatieve technologiegiganten – dat ze hun privacy- en beveiligingsbeloften nakomen, ongeacht of ze de persoonlijke informatie van consumenten op hun eigen systemen opslaan of in clouddiensten van derden. Er zijn geen uitzonderingen.
Lezen Begin met beveiliging voor de basisprincipes en volg onze voortdurende Blijf bij de beveiligingsblogserie voor een diepere duik.
