FTCは、2017年8月にウーバーと交わした同意合意案の中で、とりわけ同社の不合理なセキュリティ慣行が2014年5月のデータ侵害につながったと主張した。しかし、話には続きがあります。 FTC によると、Uber は 2016 年の秋、FTC の非公開調査の最中に別の侵害を経験しましたが、2017 年 11 月になるまで FTC に開示しませんでした。この問題に対処するために、FTC は当初の違反行為を撤回しました。 Uberとの和解と、 新たな和解案を発表した。あなたの会社が知りたいのは、そのストーリーの背後にあるストーリーです。
FTCの2017年8月の告訴状には、従業員が乗客の個人情報にアクセスしているという報告を受けてウーバーが消費者に対して行った虚偽の保証に関するカウントに加えて、ウーバーによるサードパーティのクラウドストレージサービスの使用におけるセキュリティ上の欠陥に関連する2番目のカウントも含まれていた。同社の広範なセキュリティ主張にも関わらず、FTC は、Uber の一連の決定と不作為を総合すると、Uber がそのサービス上に保存した個人データに対する不当なセキュリティをもたらしたと告発した。
FTC が異議を申し立てた失策の中で、特に有害であることが判明したものは、Uber がクラウド サービス上に暗号化されていない平文で保存した機密データに対する完全な管理者権限を提供する単一のアクセス キーの使用を従業員に許可するという Uber のポリシーです。なぜその決断がそれほど運命的だったのでしょうか?なぜなら、Uber のエンジニアがソフトウェア開発者に人気のコード共有サイトである GitHub にアクセス キーを公開したところ、侵入者がそのオールアクセスのバックステージ パスを使用して 10 万人以上の個人データを入手したからです。
2014 年 5 月の違反は、FTC の Uber に対する最初の訴訟で引用されました。しかし、Uber は 2016 年の秋に別の侵害を経験しました。これも、Uber がサードパーティのクラウド ストレージ サービスを使用する際に行ったセキュリティの選択が甘かったことが原因です。ここでも侵入者は、Uber エンジニアが GitHub に投稿したアクセス キーを使用しました。今回は、キーがプライベート GitHub リポジトリに投稿されました。しかし、Uber はエンジニアが個人のアカウントを介して会社の GitHub リポジトリにアクセスできるようにしており、通常、そのアカウントは個人の電子メール アドレスに関連付けられていました。 Uber はエンジニアが認証情報を再利用することを禁止しておらず、同社の GitHub リポジトリにアクセスする際に多要素認証を有効にすることも要求していません。侵入者らは、他の大規模データ侵害で流出したパスワードを使用してアクセスしたと述べた。 1 か月間で、侵入者はその平文アクセス キーを使用して、米国の Uber の乗客と運転手の 2,560 万件の名前と電子メール アドレス、2,210 万件の名前と携帯電話番号、60 万 7,000 件の名前と運転免許証番号をダウンロードしました。
Uber は 2016 年 11 月 14 日に攻撃者が同社に連絡し、6 桁の支払いを要求してこの侵害を知りました。ウーバーは、ウーバーの「バグ報奨金」プログラムを管理するサードパーティを通じて10万ドルを支払った。多くの企業は、重大なセキュリティ脆弱性を責任を持って開示した場合に報奨金を提供するバグ報奨金プログラムを設けています。しかし、正規のバグ報奨金とは異なり、これは脆弱性を悪意を持って悪用して何百万人もの個人情報を盗んだ同じ攻撃者に対する Uber の支払いでした。
Uber は、この侵害を知ってから 1 年以上が経過した 2017 年 11 月 21 日まで、影響を受けた消費者にこの侵害を開示していませんでした。さらに、2016年秋の侵害は、Uberが2014年5月の侵害の調査についてFTCと協議している間に発生したが、これはサードパーティのクラウドサービスに保存されている消費者データを保護するための同社の慣行にも関連していた。この捜査は係属中にもかかわらず、ウーバーは 2017 年 11 月まで 2 回目の違反について FTC に報告しませんでした。
この啓示の結果はどうなるのでしょうか? FTC が行政上の和解を発表すると、同意合意案はパブリックコメントのために 30 日間記録に残されます。コメントを検討した後、FTC は命令を最終的なものとして受け入れるか受け入れません。今回の場合、FTCはウーバーとの和解案を撤回し、新たな契約を結んでいるが、この契約も今日から2018年5月14日まで30日間パブリックコメントのために記録される予定である。FTCはその後、撤回すべきかどうか決定する予定である。新しい契約から同意するか、最終的な契約として受け入れます。
新たに提案された苦情と命令の違いは何ですか?訴状には、2016年秋のデータ侵害に関連する申し立てを説明する追加セクションが含まれています。提案された命令には、今回の事件で起こったことに対処し、将来消費者を保護するために設計された多くの追加条項が含まれています。詳細については順序を読んでください。ここでは、より広範囲にわたる方法をいくつか紹介します。
2017 年 8 月に提案された命令では、Uber に包括的なプライバシー プログラムの導入が義務付けられていました。新しい命令では、プログラムが次の事項にも取り組むことを求めています。1) アクセス キー管理と安全なクラウド ストレージを含む、安全なソフトウェア設計、開発、テスト。 2) Uber がバグ報奨金プログラムを含むサードパーティのセキュリティ脆弱性報告をどのように検討し、対応するか。 3) 攻撃、侵入、システム障害の防止、検出、および対応。新たな規定に基づき、ウーバーは消費者の情報への不正アクセスについて米国の連邦、州、地方自治体に通知しなければならない事例については、FTCに報告書を提出する必要がある。また、バグ報奨金プログラムの運用や他の法執行官との連絡など、Uber の取り組みを注意深く監視するために、報告および記録保持の規定が拡張されました。
