联邦贸易委员会(FTC)提出了针对在线饮酒平台Drizly及其首席执行官的执法步骤。一个人在限制公司可能收集的个人信息的数量,Engadget报告。
FTC声称,2018年,Uber拥有的Drizly首席执行官James Cory Rellas和该公司本身都知道安全问题。委员会裁定,该公司没有采取合理的预防措施来确保其用户的个人信息,这导致2020年泄露数据损害了其250万客户。
数据泄露事件
一名奇特的员工显然泄露了该公司的Amazon Web Services(AWS)在2018年在Github上登录凭据,从而促使FTC进行了调查。
电子邮件,物理地址,电话号码,设备标识符,地理位置数据以及从第三方购买可用于识别单个用户的任何其他数据都存储在AWS中。这些凭据使黑客访问了Drizly的服务器,然后用来生成比特币。
尽管FTC通过更改其登录凭证来重新获得权威,但该公司仍未采取“合理的步骤”来保护其客户并解决其安全缺陷,尽管公众对此相反。
2020年晚些时候,一名黑客使用员工的帐户获得了对GitHub的访问。然后,黑客可以访问Drizly的数据库,并偷走了250万消费者的个人信息,随后将其出售在至少两个不同的Dark Web网站上。
FTC提出的裁决,影响公司
FTC认为这些事件是由于德利兹利(Drizly)的安全措施不足而发生的,例如不强迫工人对GitHub使用两因素身份验证,该公司在该公司保留登录凭证。根据委员会的说法,Drizly没有高级管理公司的管理公司安全政策或限制员工访问消费者敏感数据的机会。
FTC提出的订单将要求删除服务操作并不严格要求的任何用户信息。将来,它必须停止收集并非必不可少的数据并在其网站上清楚地说明其收集和存储的数据。它还需要聘请一名著名的高管来监督行动并制定严格的安全措施。
FTC提出的裁决,影响首席执行官
由于雷拉斯(Rellas)在监督德里兹利(Drizly)的弱势安全方面的领导地位,该委员会还强加了指令,从而对他产生了重大影响。
Rellas仍然有义务在他担任首席执行官,多数所有者或从事安全的高级主管的任何公司制定信息安全计划,即使他选择退出酒类送货业务。
FTC采取了一项新策略来处理安全程序较弱的企业,如华盛顿邮报,虽然以前,委员会在类似的安全漏洞实例中很少针对领导人。
不久,FTC将发布这些拟议的命令。在委员会决定是否使其正式官方之前,公众评论将被接受30天。
本文由技术时报拥有
由Trisha Kae Andrada撰写
