Hoeveel informatie heeft Uber over zijn passagiers en chauffeurs? Erg. De FTC heeft zojuist een schikking aangekondigd het aanpakken van beschuldigingen dat het bedrijf ten onrechte beweerde de interne toegang tot de persoonlijke informatie van consumenten voortdurend nauwlettend in de gaten te houden. De FTC beweert ook dat Uber zijn belofte om redelijke beveiliging van consumentengegevens te bieden niet is nagekomen.
Uber verzamelt en bewaart gevoelige informatie over zijn gebruikers, zoals namen, adressen, profielfoto’s en gedetailleerde ritlogboeken, inclusief geolocatie. Wanneer mensen zich aanmelden als Uber-chauffeur, verzamelt het bedrijf ook veel gegevens: burgerservicenummers, rijbewijsnummers, bankrekeningnummers, autoregistraties en dergelijke.
Het verhaal achter de FTC klacht dateert tenminste uit 2014, toen het bedrijf het onderwerp was van berichten dat Uber-werknemers op onrechtmatige wijze toegang hadden gekregen tot de persoonlijke gegevens van passagiers. Hoe reageerden consumenten? Niet goed.
Om op de controverse te reageren plaatste Uber deze verklaring op zijn site:
Uber heeft een strikt beleid dat alle medewerkers op alle niveaus verbiedt toegang te krijgen tot de gegevens van een passagier of chauffeur. De enige uitzondering op dit beleid geldt voor een beperkt aantal legitieme zakelijke doeleinden. Ons beleid is aan alle medewerkers en opdrachtnemers gecommuniceerd. . . .
Het beleid maakt ook duidelijk dat de toegang tot passagiers- en chauffeursaccounts voortdurend zorgvuldig wordt gecontroleerd en gecontroleerd door specialisten op het gebied van gegevensbeveiliging en dat elke inbreuk op het beleid zal resulteren in disciplinaire maatregelen, inclusief de mogelijkheid van ontslag en gerechtelijke stappen.
Hoe heeft Uber een deel van de gevoelige informatie opgeslagen die het bedrijf bewaart? Uber heeft een populaire cloudopslagdienst van derden gebruikt om grote hoeveelheden ervan te bewaren, inclusief back-ups van zijn enorme passagiers- en chauffeursdatabases. Uber zei dat het persoonlijke informatie ‘veilig opsloeg’, met behulp van ‘standaard, industriebrede, commercieel redelijke beveiligingspraktijken zoals encryptie, firewalls en SSL (Secure Socket Layers)…’.
Als consumenten hun onwil uitten om persoonlijke informatie te verstrekken, hebben medewerkers van de klantenservice hun zorgen weggenomen door te beloven dat Uber “uiterst waakzaam” was en dat hun informatie “veilig zal worden opgeslagen en alleen zal worden gebruikt voor door u geautoriseerde doeleinden. We gebruiken de meest up-to-date technologie en diensten om ervoor te zorgen dat niets daarvan in gevaar komt.”
Dit is wat Uber zei hijmaar wat gebeurde er achter de schermen? Volgens de klachtOndanks de belofte van “continue” monitoring door databeveiligingsspecialisten, was het systeem dat Uber in december 2014 implementeerde niet ontworpen of uitgerust om effectief de gegevens te monitoren waartoe Uber-werknemers toegang hebben, dus verliet het bedrijf het. Van augustus 2015 tot mei 2016 heeft Uber niet tijdig gevolg gegeven aan meldingen over mogelijk misbruik van persoonlijke gegevens van consumenten. Gedurende een bepaalde periode van zes maanden controleerde Uber alleen de toegang tot accountinformatie van een selecte groep. WHO? Enkele spraakmakende gebruikers, waaronder Uber-managers.
De FTC beweert ook dat Uber zich schuldig heeft gemaakt aan praktijken die, alles bij elkaar genomen, er niet in zijn geslaagd een redelijke beveiliging te bieden voor persoonlijke informatie in de cloudopslagdienst. Wij raden u aan de klacht voor details, maar volgens de FTC stond Uber toe dat alle programma’s en technici die toegang hadden tot de cloudopslagdienst één enkele toegangssleutel gebruikten die volledige beheerdersrechten bood voor alles wat Uber daar opsloeg, de toegang niet beperkte op basis van de functiefuncties van werknemers, geen multi-factor authenticatie nodig had voor toegang, en gevoelige informatie opsloeg in duidelijke, leesbare tekst, met andere woorden, niet gecodeerd. Bovendien slaagde Uber er vanaf september 2014 niet in om redelijke beveiligingstraining en -begeleiding te implementeren en beschikte het niet eens over een schriftelijk informatiebeveiligingsprogramma. Volgens de klacht had Uber dergelijke mislukkingen kunnen voorkomen door gebruik te maken van direct beschikbare, goedkope maatregelen.
Wat was het resultaat? In mei 2014 gebruikte een indringer een sleutel die een Uber-ingenieur publiekelijk op een site voor het delen van codes had geplaatst om toegang te krijgen tot de namen en rijbewijsnummers van 100.000 Uber-chauffeurs, evenals tot bepaalde bankrekeninggegevens en burgerservicenummers. De FTC zegt dat Uber de inbreuk al bijna vier maanden niet heeft ontdekt.
De voorgestelde oplossing verbiedt Uber om zijn privacy- en beveiligingspraktijken verkeerd voor te stellen. Het vereist ook dat Uber een alomvattend privacyprogramma opzet en zich de komende twintig jaar elke twee jaar onderwerpt aan onafhankelijke audits door derden. Publiek commentaar op de overeenkomst kan tot 15 september 2017 worden ingediend.
Als u of uw klanten persoonlijke informatie van consumenten verzamelen, raden we u aan de instructies te lezen voor een gedetailleerde uitleg van wat de FTC zegt dat Uber heeft gedaan (en niet heeft gedaan) waardoor de privacy- en veiligheidsclaims van het bedrijf misleidend zijn geworden. Maar het belangrijkste punt van de klacht de beschuldigingen komen neer op een niet verrassend principe. Consumenten verwachten van alle bedrijven – van fysieke winkels tot innovatieve technologiegiganten – dat ze hun beloften op het gebied van privacy en veiligheid nakomen, of ze nu de persoonlijke informatie van consumenten op hun eigen systemen opslaan of op clouddiensten van derden. Er zijn geen uitzonderingen.
Licht Begin met veiligheid voor de basisbeginselen en volg onze koers Ga verder met de serie beveiligingsblogs voor een diepere duik.
