Hoeveel informatie heeft Uber over zijn passagiers en chauffeurs? Veel. De FTC heeft zojuist een schikking aangekondigd het aanpakken van beschuldigingen dat het bedrijf ten onrechte beweerde de interne toegang tot de persoonlijke informatie van consumenten voortdurend nauwlettend in de gaten te houden. De FTC beweert ook dat Uber zijn belofte om redelijke beveiliging van consumentengegevens te bieden niet is nagekomen.
Uber verzamelt en onderhoudt gevoelige informatie over zijn passagiers, bijvoorbeeld namen, adressen, profielfoto’s en gedetailleerde reisgegevens, inclusief geolocatie. Als mensen zich aanmelden als Uber-chauffeur, verzamelt het bedrijf ook veel gegevens: burgerservicenummers, rijbewijsnummers, bankrekeningnummers, autoregistraties en dergelijke.
Het verhaal achter de FTC’s klacht daterend uit minstens 2014. Toen was het bedrijf het onderwerp van nieuwsberichten waarin werd beweerd dat Uber-werknemers op onrechtmatige wijze toegang hadden gekregen tot de persoonlijke gegevens van passagiers. Hoe reageerden consumenten? Niet goed.
Als reactie op de controverse plaatste Uber deze verklaring op zijn website:
Uber hanteert een strikt beleid dat alle medewerkers, op welk niveau dan ook, verbiedt toegang te krijgen tot de gegevens van een passagier of chauffeur. De enige uitzondering op dit beleid geldt voor een beperkt aantal legitieme zakelijke doeleinden. Ons beleid is aan alle medewerkers en opdrachtnemers gecommuniceerd. . . .
Het beleid maakt ook duidelijk dat de toegang tot passagiers- en chauffeursaccounts voortdurend nauwlettend wordt gecontroleerd en gecontroleerd door specialisten op het gebied van gegevensbeveiliging, en dat elke overtreding van het beleid zal resulteren in disciplinaire maatregelen, inclusief de mogelijkheid van ontslag en juridische stappen.
Hoe heeft Uber een deel van de gevoelige informatie in zijn bezit opgeslagen? Uber gebruikte een bekende cloudopslagdienst van derden om grote hoeveelheden ervan te onderhouden, inclusief back-ups van zijn enorme databases van passagiers en chauffeurs. Uber beweerde dat het persoonlijke informatie ‘veilig opsloeg’ met behulp van ‘standaard, industriebrede, commercieel redelijke beveiligingspraktijken zoals encryptie, firewalls en Secure Socket Layers (SSL)…’
Als consumenten hun onwil uitten om persoonlijke gegevens te verstrekken, hebben medewerkers van de klantenservice hun zorgen weggenomen door te beloven dat Uber “extra waakzaam” zou zijn en dat hun informatie “veilig zou worden bewaard en alleen zou worden gebruikt voor doeleinden die u hebt geautoriseerd. We gebruiken de meest up-to-date technologie en diensten om ervoor te zorgen dat geen van deze in gevaar komt.”
Dat is wat Uber gezegdmaar wat gebeurde er achter de schermen? Volgens klachtOndanks de belofte van “24-uurs” monitoring door databeveiligingsspecialisten, was het systeem dat Uber in december 2014 implementeerde niet ontworpen of bemand om effectief de gegevens te monitoren waartoe Uber-werknemers toegang hadden, dus verliet het bedrijf het. Van augustus 2015 tot mei 2016 reageerde Uber niet tijdig op waarschuwingen over mogelijk misbruik van persoonlijke gegevens van consumenten. Gedurende een bepaalde periode van zes maanden controleerde Uber alleen de toegang tot de accountgegevens van een selecte groep. WHO? Bepaalde spraakmakende gebruikers, waaronder Uber-managers.
De FTC beweert ook dat Uber zich bezighield met praktijken die, alles bij elkaar genomen, geen redelijke beveiliging boden voor persoonlijke informatie in de cloudopslagdienst. Je zult willen lezen klacht voor details, maar volgens de FTC liet Uber alle programma’s en technici die toegang hadden tot de cloudopslagdienst één enkele toegangssleutel gebruiken die volledige beheerdersrechten verleende voor alles wat Uber daar opsloeg, slaagde er niet in de toegang te beperken op basis van de functiefuncties van werknemers, vereiste geen multi-factor authenticatie voor toegang en sloeg gevoelige informatie op in duidelijke, leesbare (met andere woorden, niet-versleutelde) tekst. Bovendien slaagde Uber er tot september 2014 niet in om redelijke beveiligingstrainingen en -richtlijnen te implementeren en beschikte het niet eens over een schriftelijk informatiebeveiligingsprogramma. Volgens de klacht had Uber deze fouten kunnen voorkomen door gebruik te maken van direct beschikbare, goedkope maatregelen.
Wat was het resultaat? In mei 2014 gebruikte een indringer een toegangssleutel die een Uber-ingenieur publiekelijk op een website voor het delen van codes had geplaatst om toegang te krijgen tot de namen en rijbewijsnummers van 100.000 Uber-chauffeurs, evenals tot bepaalde bankrekeninggegevens en burgerservicenummers. De FTC zegt dat Uber de inbreuk al bijna vier maanden niet heeft ontdekt.
De voorgestelde schikking verbiedt Uber om zijn privacy- en beveiligingspraktijken verkeerd voor te stellen. Het vereist ook dat Uber een uitgebreid privacyprogramma opzet en de komende twintig jaar elke twee jaar onafhankelijke audits door derden laat uitvoeren. U kunt tot 15 september 2017 openbaar commentaar op de schikking indienen.
Als u of uw klanten persoonlijke gegevens van consumenten verzamelen, wilt u de documenten lezen voor een gedetailleerde uitleg van wat de FTC zegt dat Uber heeft gedaan (en niet heeft gedaan) waardoor de privacy- en veiligheidsclaims van het bedrijf misleidend zijn geworden. Maar de belangrijkste afhaalmaaltijd klacht claims komen neer op een niet verrassend principe. Consumenten verwachten van alle bedrijven – van fysieke moeder-en-popbedrijven tot innovatieve technologiegiganten – dat ze hun privacy- en beveiligingsbeloften nakomen, of ze nu de persoonlijke gegevens van consumenten op hun eigen systemen opslaan of in clouddiensten van derden. Er zijn geen uitzonderingen.
Lezen Begin met veiligheid voor de basis en volg onze lopende Blijf bij de serie Beveiligingsblogs voor een diepere duik.
