Dalam perjanjian persetujuan yang diusulkan dengan Uber pada bulan Agustus 2017, FTC menuduh, antara lain, bahwa praktik keamanan perusahaan yang tidak masuk akal menyebabkan pelanggaran data pada bulan Mei 2014. Namun ada lebih banyak cerita sekarang. Menurut FTC, Uber kembali melakukan pelanggaran pada musim gugur tahun 2016 — di tengah penyelidikan non-publik FTC — namun tidak mengungkapkannya kepada FTC hingga bulan November 2017. Untuk mengatasi masalah ini, FTC menarik diri dari pelanggaran aslinya. . Penyelesaian dengan Uber dan Dia mengumumkan usulan penyelesaian baru. Kisah di balik kisah itulah yang ingin diketahui oleh perusahaan Anda.
Selain sejumlah jaminan menipu yang diberikan Uber kepada konsumen sebagai tanggapan atas laporan bahwa karyawan mengakses informasi pribadi pengendara, pengaduan FTC pada bulan Agustus 2017 juga mencakup penghitungan kedua mengenai kerentanan keamanan dalam penggunaan layanan penyimpanan cloud pihak ketiga oleh Uber. Terlepas dari klaim keamanan perusahaan yang sangat besar, FTC menuduh bahwa serangkaian keputusan dan kelalaian yang dilakukan Uber – jika dilakukan secara bersamaan – menyebabkan keamanan yang tidak wajar pada data pribadi yang disimpan Uber di layanan tersebut.
Di antara kesalahan yang dipermasalahkan oleh FTC, salah satunya terbukti sangat merugikan: kebijakan Uber yang mengizinkan karyawannya menggunakan kunci akses tunggal yang memberikan hak administratif penuh atas data sensitif yang disimpan Uber dalam teks yang jelas dan tidak terenkripsi di layanan cloud tersebut. Mengapa keputusan ini begitu menentukan? Karena ketika seorang insinyur Uber secara publik memposting kunci akses di GitHub, situs berbagi kode yang populer di kalangan pengembang perangkat lunak, seorang peretas menggunakan kartu akses universal tersebut untuk memperoleh data pribadi sekitar lebih dari 100.000 orang.
Pelanggaran ini disebutkan pada bulan Mei 2014 dalam tindakan awal FTC terhadap Uber. Namun, Uber menghadapi pelanggaran lain pada musim gugur tahun 2016, yang juga disebabkan oleh lemahnya pilihan keamanan yang dibuat Uber dalam penggunaan layanan penyimpanan cloud pihak ketiga. Sekali lagi, para peretas menggunakan kunci akses yang diposting oleh insinyur Uber di GitHub. Kali ini, kuncinya dipublikasikan ke repositori GitHub pribadi. Namun, Uber mengizinkan para insinyurnya untuk mengakses repositori GitHub perusahaan melalui akun masing-masing insinyur, yang umumnya ditautkan ke alamat email pribadi. Uber tidak melarang teknisinya menggunakan kembali kredensial atau mengharuskan mereka mengaktifkan autentikasi multifaktor saat mengakses repositori GitHub perusahaan. Para peretas mengatakan mereka memperoleh akses menggunakan kata sandi yang telah terungkap dalam pelanggaran data besar lainnya. Dalam periode satu bulan, peretas menggunakan kunci akses teks biasa untuk mengunduh 25,6 juta nama dan alamat email, 22,1 juta nama dan nomor ponsel, serta 607.000 nama dan nomor SIM penumpang dan pengemudi Uber di Amerika Serikat.
Uber mengetahui pelanggaran tersebut pada 14 November 2016, ketika seorang penyerang menghubungi perusahaan tersebut dan meminta pembayaran enam digit. Uber membayar $100.000 melalui pihak ketiga yang menjalankan program “bug bounty” Uber. Banyak perusahaan memiliki program bug bounty untuk menawarkan imbalan atas pengungkapan kerentanan kritis yang bertanggung jawab. Tapi tidak seperti bug bounty yang sah, ini adalah bounty dari Uber kepada penyerang yang sama yang dengan jahat mengeksploitasi kerentanan untuk mencuri informasi pribadi jutaan orang.
Uber gagal mengungkapkan pelanggaran tersebut kepada konsumen yang terkena dampak hingga 21 November 2017, lebih dari setahun setelah perusahaan menyadarinya. Selain itu, pelanggaran tersebut terjadi pada musim gugur tahun 2016 ketika Uber sedang berdiskusi dengan Komisi Perdagangan Federal mengenai penyelidikannya terhadap pelanggaran pada bulan Mei 2014, yang juga terkait dengan praktik perusahaan dalam mengamankan data konsumen yang disimpan di layanan cloud pihak ketiga. Meskipun menunggu penyelidikan ini, Uber tidak memberi tahu FTC tentang peretasan kedua hingga November 2017.
Apa akibat dari wahyu ini? Ketika FTC mengumumkan penyelesaian administratif, perjanjian persetujuan yang diusulkan dicatat selama 30 hari untuk dikomentari publik. Setelah mempertimbangkan komentar tersebut, FTC akan menerima permohonan tersebut sebagai permohonan final atau tidak. Dalam hal ini, FTC telah membatalkan usulan penyelesaiannya dengan Uber dan menandatangani perjanjian baru yang juga akan dicatat selama 30 hari untuk dikomentari publik mulai hari ini hingga 14 Mei 2018. FTC kemudian akan memutuskan apakah akan menarik diri atau tidak. dari atau menerima perjanjian baru Sebagai final.
Apa perbedaan antara pengaduan dan sistem baru yang diusulkan? Keluhan tersebut mencakup bagian tambahan yang menjelaskan tuduhan terkait pelanggaran data pada musim gugur 2016. Perintah yang diusulkan mencakup sejumlah ketentuan tambahan yang dirancang untuk mengatasi apa yang terjadi dalam kasus ini dan melindungi konsumen di masa depan. Anda harus membaca pesanannya untuk mengetahui detailnya, tetapi berikut beberapa cara untuk membuatnya lebih luas.
Perintah yang diusulkan pada bulan Agustus 2017 mengharuskan Uber untuk menerapkan program privasi yang komprehensif. Perintah baru ini juga mengharuskan program untuk menangani: 1) desain, pengembangan, dan pengujian perangkat lunak yang aman, termasuk manajemen kunci akses dan penyimpanan cloud yang aman; 2) bagaimana Uber meninjau dan merespons laporan kerentanan pihak ketiga, termasuk program bug bounty; dan 3) mencegah, mendeteksi, dan merespons serangan, intrusi, atau kegagalan sistem. Berdasarkan ketentuan baru, Uber harus mengajukan laporan ke Komisi Perdagangan Federal (FTC) tentang setiap episode di mana perusahaan harus memberi tahu entitas pemerintah federal, negara bagian, atau lokal AS tentang akses tidak sah terhadap informasi konsumen. Ketentuan pelaporan dan pencatatan telah diperluas untuk memantau secara lebih dekat apa yang dilakukan Uber, termasuk pengoperasian program bug bounty dan komunikasi dengan penegak hukum lainnya.