In de in augustus 2017 voorgestelde toestemmingsschikking met Uber beweerde de FTC onder meer dat de onredelijke beveiligingspraktijken van het bedrijf in mei 2014 tot een datalek hadden geleid. Maar nu is er meer aan de hand. Volgens de FTC kreeg Uber in het najaar van 2016 opnieuw te maken met een inbreuk, midden in een niet-openbaar FTC-onderzoek, maar maakte dit pas in november 2017 aan de FTC bekend. Om het probleem op te lossen, trok de FTC zich terug uit de oorspronkelijke deal met Uber en een nieuwe voorgestelde oplossing aangekondigd. Het is het verhaal achter dat verhaal dat uw bedrijf wil weten.
Naast het tellen van de misleidende garanties die Uber aan consumenten heeft gegeven naar aanleiding van berichten dat werknemers toegang hadden tot de persoonlijke gegevens van gebruikers, FTC-klacht van augustus 2017 omvatte een tweede aanklacht wegens inbreuken op de beveiliging bij Uber’s gebruik van een cloudopslagdienst van derden. Ondanks de brede beveiligingsclaims van het bedrijf zei de FTC dat een reeks beslissingen en nalatigheden van Uber – samengenomen – resulteerden in een onredelijke beveiliging van de persoonlijke gegevens die Uber op die dienst had opgeslagen.
Van de door de FTC aangevochten fouten bleek er één bijzonder schadelijk: het beleid van Uber om zijn personeel toe te staan één enkele toegangssleutel te gebruiken die volledige beheerdersrechten bood voor gevoelige Uber-gegevens die in duidelijke, niet-gecodeerde tekst op die cloudservice waren opgeslagen. Waarom was die beslissing zo noodlottig? Want toen een Uber-ingenieur publiekelijk een toegangssleutel op GitHub plaatste, een site voor het delen van codes die populair is onder softwareontwikkelaars, gebruikte een indringer die backstage-pas voor volledige toegang om de persoonlijke gegevens van meer dan 100.000 mensen te stelen.
Die overtreding uit mei 2014 werd aangehaald in de oorspronkelijke actie van de FTC tegen Uber. In de herfst van 2016 kreeg Uber echter opnieuw te maken met een inbreuk, ook als gevolg van lakse beveiligingskeuzes die Uber maakte bij het gebruik van de cloudopslagdienst van derden. Opnieuw gebruikten de indringers een toegangssleutel die een Uber-ingenieur op GitHub had geplaatst. Deze keer werd de sleutel gepubliceerd naar een privé GitHub-repository. Uber heeft zijn technici echter toegang gegeven tot de GitHub-opslagplaatsen van het bedrijf via de individuele accounts van de technici, doorgaans gekoppeld aan persoonlijke e-mailadressen. Uber verbood zijn technici niet om inloggegevens te hergebruiken en eiste niet dat ze multi-factor authenticatie inschakelden bij toegang tot de GitHub-repository’s van het bedrijf. De indringers zeiden dat ze toegang hadden verkregen met behulp van wachtwoorden die bij andere grote datalekken aan het licht zijn gekomen. Gedurende een periode van een maand gebruikten indringers die leesbare wachtwoordsleutel om 25,6 miljoen namen en e-mailadressen, 22,1 miljoen namen en mobiele telefoonnummers, en 607.000 namen en rijbewijsnummers van Amerikaanse Uber-gebruikers te downloaden.
Uber werd op 14 november 2016 op de hoogte van de inbreuk, toen een aanvaller contact opnam met het bedrijf en een betaling van zes cijfers eiste. Uber betaalde 100.000 dollar via de derde partij die het ‘bug bounty’-programma van Uber beheert. Veel bedrijven hebben bugbountyprogramma’s om beloningen te bieden voor het op verantwoorde wijze openbaar maken van ernstige beveiligingsproblemen. Maar in tegenstelling tot een legitieme bugpremie was dit een beloning van Uber aan dezelfde aanvallers die kwaadwillig misbruik maakten van de kwetsbaarheid om persoonlijke informatie over miljoenen mensen te stelen.
Uber maakte de inbreuk pas op 21 november 2017 bekend aan de getroffen consumenten, meer dan een jaar nadat het bedrijf hiervan op de hoogte werd gebracht. Bovendien vond de inbreuk in het najaar van 2016 plaats terwijl Uber in gesprek was met de FTC over het onderzoek naar de inbreuk van mei 2014, waarin ook de praktijken van het bedrijf ter bescherming van consumentengegevens die op de cloudservice van derden waren opgeslagen, aan bod kwamen. Ondanks de hangende uitvoering van dat onderzoek heeft Uber de FTC pas in november 2017 op de hoogte gesteld van de tweede overtreding.
Wat is het resultaat van deze openbaring? Wanneer de FTC een administratieve schikking aankondigt, wordt de voorgestelde toestemmingsschikking gedurende 30 dagen geplaatst voor openbaar commentaar. Na bestudering van de opmerkingen aanvaardt de FTC de bestelling als definitief of niet. In dit geval heeft de FTC de voorgestelde schikking met Uber ingetrokken en gaat zij een schikking aan nieuwe overeenkomst Dit zal vanaf vandaag tot en met 14 mei 2018 ook gedurende 30 dagen worden vastgelegd voor openbaar commentaar. De FTC zal dan beslissen of zij zich terugtrekt uit de nieuwe overeenkomst of deze als definitief aanvaardt.
Wat is er anders aan het nieuwe voorgestelde klacht en bestelling? De klacht bevat een extra sectie waarin de beschuldigingen met betrekking tot het datalek in de herfst van 2016 worden beschreven. De voorgestelde verordening bevat een aantal aanvullende bepalingen die bedoeld zijn om iets te doen aan wat er in deze zaak is gebeurd en om consumenten in de toekomst te beschermen. Wij raden u aan de volgorde voor details, maar hier zijn enkele manieren waarop het aanzienlijk breder is.
De in augustus 2017 voorgestelde verordening zou Uber verplicht hebben een alomvattend privacyprogramma te implementeren. De nieuwe order vereist dat het programma ook aandacht besteedt aan: 1) veilig softwareontwerp, -ontwikkeling en -testen, inclusief sleutelbeheer en veilige cloudopslag; 2) hoe Uber meldingen van beveiligingsproblemen van derden beoordeelt en erop reageert, inclusief het bugbountyprogramma; en 3) preventie, detectie en reactie op aanvallen, inbraken of systeemstoringen. Volgens een nieuwe bepaling moet Uber een rapport indienen bij de FTC over elk incident waarbij het bedrijf een Amerikaanse federale, staats- of lokale overheidsinstantie op de hoogte moet stellen van ongeautoriseerde toegang tot consumenteninformatie. En de rapportage- en registratievoorzieningen zijn uitgebreid om in de gaten te houden wat Uber doet, inclusief de werking van zijn bugbounty-programma en de communicatie met andere wetshandhavingsinstanties.
