In de in augustus 2017 voorgestelde toestemmingsovereenkomst met Uber beweerde de FTC onder meer dat de onredelijke beveiligingspraktijken van het bedrijf in mei 2014 tot een datalek hadden geleid. Maar er zit nu meer achter. Volgens de FTC heeft Uber in het najaar van 2016 opnieuw te maken gehad met een inbreuk – precies midden in het niet-openbare onderzoek van de FTC – maar heeft zij dit pas in november 2017 aan de FTC bekendgemaakt. Om dit probleem aan te pakken heeft de FTC zich teruggetrokken uit de oorspronkelijke schikking met Uber en een nieuw schikkingsvoorstel aangekondigd. Het is het verhaal achter het verhaal dat jouw bedrijf wil weten.
Naast een reeks misleidende toezeggingen die Uber consumenten heeft gegeven in reactie op berichten dat werknemers toegang hadden gekregen tot de persoonlijke gegevens van passagiers, De klacht van de FTC uit augustus 2017 bevatte nog een telling met betrekking tot beveiligingsfouten bij Uber’s gebruik van een cloudopslagdienst van derden. Ondanks de uitgebreide beveiligingsclaims van het bedrijf, beschuldigde de FTC ervan dat een reeks beslissingen en weglatingen van Uber – bij elkaar genomen – resulteerden in een onredelijke beveiliging van persoonlijke gegevens die Uber op die dienst had opgeslagen.
Een van de tekortkomingen die de FTC aanvocht, bleek bijzonder schadelijk: het beleid van Uber om zijn personeel toe te staan één enkele toegangssleutel te gebruiken die volledige beheerdersrechten gaf over de gevoelige gegevens die Uber in duidelijke, niet-gecodeerde tekst op die cloudservice had opgeslagen. Waarom was die beslissing zo noodlottig? Want toen een Uber-ingenieur publiekelijk een toegangssleutel plaatste op GitHub, een site voor het delen van codes die populair is bij softwareontwikkelaars, gebruikte een indringer die backstage-pas voor volledige toegang om de persoonlijke gegevens van meer dan 100.000 mensen te bemachtigen.
De overtreding van mei 2014 werd aangehaald in de oorspronkelijke zaak van de FTC tegen Uber. Uber kreeg echter opnieuw te maken met een inbreuk in de herfst van 2016, die ook te wijten was aan lakse beveiligingskeuzes die Uber maakte bij het gebruik van cloudopslagdiensten van derden. Opnieuw gebruikten indringers een toegangssleutel die een Uber-ingenieur op GitHub had geplaatst. Deze keer werd de sleutel naar een privé GitHub-repository gestuurd. Uber gaf zijn technici echter toegang tot de GitHub-repository’s van het bedrijf via de individuele accounts van de technici, die doorgaans gekoppeld waren aan persoonlijke e-mailadressen. Uber verbood zijn technici niet om inloggegevens te hergebruiken en eiste niet dat ze multi-factor authenticatie inschakelden bij toegang tot de GitHub-repository’s van het bedrijf. De indringers zeiden dat ze toegang hadden verkregen door wachtwoorden te gebruiken die bij andere grote datalekken bekend waren geworden. Gedurende een periode van een maand gebruikten indringers de toegangscode in platte tekst om 25,6 miljoen namen en e-mailadressen, 22,1 miljoen namen en mobiele telefoonnummers en 607.000 namen en rijbewijsnummers van Amerikaanse Uber-passagiers en -chauffeurs te downloaden.
Uber hoorde van de inbreuk op 14 november 2016, toen een aanvaller contact opnam met het bedrijf en een uitbetaling van zes cijfers eiste. Uber betaalde 100.000 dollar via de derde partij die het ‘bug bounty’-programma van Uber beheert. Veel bedrijven hebben bugbountyprogramma’s om beloningen te bieden voor het op verantwoorde wijze openbaar maken van ernstige beveiligingsproblemen. Maar in tegenstelling tot een legitieme bugpremie was dit een Uber-uitbetaling aan dezelfde aanvallers die kwaadwillig misbruik maakten van de kwetsbaarheid om de persoonlijke informatie van miljoenen mensen te stelen.
Uber heeft de inbreuk pas op 21 november 2017 aan de getroffen consumenten bekendgemaakt, meer dan een jaar nadat het bedrijf hiervan op de hoogte werd gebracht. Bovendien vond de inbreuk plaats in het najaar van 2016, terwijl Uber in gesprek was met de FTC over haar onderzoek naar de inbreuk van mei 2014, die ook betrekking had op de praktijken van het bedrijf voor het beveiligen van consumentengegevens die zijn opgeslagen op clouddiensten van derden. Ondanks het vertrouwen in dit onderzoek heeft Uber de FTC pas in november 2017 over de tweede inbreuk geïnformeerd.
Wat is het resultaat van deze openbaring? Wanneer de FTC een administratieve schikking aankondigt, wordt de voorgestelde toestemmingsovereenkomst gedurende 30 dagen ter openbare commentaar geplaatst. Na bestudering van de opmerkingen zal de FTC de bestelling als definitief aanvaarden of niet. In dit geval heeft de FTC haar voorgestelde schikking met Uber ingetrokken en gaat zij een schikking aan nieuwe overeenkomst die vanaf vandaag tot en met 14 mei 2018 ook gedurende 30 dagen open zal zijn voor openbaar commentaar. De FTC zal dan beslissen of zij zich terugtrekt uit de nieuwe overeenkomst of deze als definitief aanvaardt.
Wat is er anders aan de nieuwe voorgestelde klacht en bestelling? De klacht bevat een extra sectie waarin de beschuldigingen met betrekking tot het datalek in het najaar van 2016 worden beschreven. Het voorgestelde besluit bevat een aantal aanvullende bepalingen die bedoeld zijn om aan te pakken wat er in deze zaak is gebeurd en om consumenten in de toekomst te beschermen. Je zult willen lezen volgorde voor de details, maar hier zijn enkele manieren waarop het bijzonder breder is.
Het bevel, voorgesteld in augustus 2017, zou Uber verplicht hebben een uitgebreid privacyprogramma te implementeren. De nieuwe order vereist dat het programma ook aandacht besteedt aan: 1) veilig softwareontwerp, -ontwikkeling en -testen, inclusief toegangssleutelbeheer en veilige cloudopslag; 2) hoe Uber rapporten over beveiligingsproblemen van derden beoordeelt en hierop reageert, inclusief het bugbountyprogramma; en 3) het voorkomen, detecteren en reageren op aanvallen, inbraken of systeemstoringen. Volgens een nieuwe bepaling moet Uber een rapport indienen bij de FTC van elke episode waarin het bedrijf een Amerikaanse federale, staats- of lokale overheidsinstantie op de hoogte moet stellen van ongeautoriseerde toegang tot consumenteninformatie. En de rapportage- en registratievoorzieningen zijn uitgebreid om beter in de gaten te kunnen houden wat Uber van plan is, inclusief de werking van zijn bugbounty-programma en de communicatie met andere wetshandhavers.
