Hoeveel informatie heeft Uber over zijn passagiers en chauffeurs? Veel. De FTC heeft zojuist een schikking aangekondigd gaat in op beschuldigingen dat het bedrijf ten onrechte beweert de interne toegang tot de persoonlijke informatie van consumenten voortdurend nauwlettend in de gaten te houden. De FTC beschuldigde Uber er ook van zijn belofte niet na te komen om een redelijke beveiliging van consumentengegevens te bieden.
Uber verzamelt en bewaart gevoelige informatie over zijn passagiers, bijvoorbeeld namen, adressen, profielfoto’s en gedetailleerde reisgegevens, inclusief geolocatie. Wanneer mensen zich aanmelden als Uber-chauffeur, verzamelt het bedrijf ook veel gegevens: burgerservicenummers, rijbewijsnummers, bankrekeningnummers, voertuigregistratie en dergelijke.
Het verhaal achter de FTC klacht dat gaat in ieder geval terug tot 2014. Toen was het bedrijf het onderwerp van nieuwsberichten waarin werd beweerd dat Uber-werknemers op ongepaste wijze toegang hadden gekregen tot de persoonlijke informatie van passagiers. Hoe reageren consumenten? Niet goed.
Als reactie op de controverse plaatste Uber deze verklaring op zijn site:
Uber heeft een strikt beleid dat alle medewerkers op elk niveau verbiedt toegang te krijgen tot gegevens van passagiers of chauffeurs. De enige uitzondering op dit beleid geldt voor bepaalde legitieme zakelijke doeleinden. Ons beleid is aan alle medewerkers en opdrachtnemers gecommuniceerd. . . .
Het beleid maakt ook duidelijk dat de toegang tot passagiers- en chauffeursaccounts voortdurend nauwlettend wordt gecontroleerd en gecontroleerd door specialisten op het gebied van gegevensbeveiliging, en dat elke overtreding van het beleid zal resulteren in disciplinaire maatregelen, inclusief mogelijke ontslag en juridische stappen.
Hoe bewaart Uber een deel van de gevoelige informatie waarover het beschikt? Uber gebruikt een bekende cloudopslagdienst van derden om grote hoeveelheden gegevens op te slaan, inclusief back-ups van zijn enorme database met passagiers en chauffeurs. Uber beweert dat zijn persoonlijke gegevens ‘veilig worden opgeslagen’, met behulp van ‘standaard, branchebrede en commercieel redelijke beveiligingspraktijken zoals encryptie, firewalls en SSL (Secure Socket Layers)…’
Als consumenten terughoudend zijn om persoonlijke gegevens te verstrekken, nemen medewerkers van de klantenservice hun zorgen weg door te beloven dat Uber “extra waakzaam” is en dat hun informatie “veilig zal worden opgeslagen en alleen zal worden gebruikt voor doeleinden die u autoriseert. We gebruiken de nieuwste technologie en diensten om ervoor te zorgen dat er niets in gevaar komt.”
Dat is wat Uber doet gezegdmaar wat gebeurt er achter de schermen? Volgens klachtOndanks beloften van “voortdurende” monitoring door databeveiligingsspecialisten, was het systeem dat Uber in december 2014 implementeerde niet ontworpen of uitgerust met personeel dat in staat was de gegevens waartoe Uber-werknemers toegang hadden effectief te monitoren, dus negeerde het bedrijf het. Van augustus 2015 tot mei 2016 heeft Uber niet tijdig gevolg gegeven aan waarschuwingen over mogelijk misbruik van de persoonlijke gegevens van consumenten. Gedurende bepaalde perioden van zes maanden controleert Uber alleen de toegang tot bepaalde groepen accountinformatie. WHO? Bepaalde spraakmakende gebruikers, waaronder Uber-managers.
De FTC beschuldigde Uber er ook van zich bezig te houden met praktijken die er over het geheel genomen niet in slaagden een redelijke beveiliging te bieden voor persoonlijke informatie op zijn cloudopslagdiensten. Je zult zeker willen lezen klacht voor details, maar volgens de FTC stond Uber toe dat alle programma’s en technici die toegang hadden tot zijn cloudopslagdienst één enkele toegangssleutel gebruikten die volledige beheerdersrechten verleende voor alles wat Uber daar opsloeg, de toegang niet beperkte op basis van de functie van de werknemer, geen multi-factor authenticatie vereiste voor toegang en gevoelige informatie opsloeg in duidelijke, gemakkelijk leesbare tekst – met andere woorden, niet-gecodeerd. Bovendien was Uber er vanaf september 2014 niet in geslaagd redelijke beveiligingstrainingen en -richtlijnen te implementeren en beschikte het niet eens over een schriftelijk informatiebeveiligingsprogramma. Volgens de klacht had Uber de mislukking kunnen voorkomen door gebruik te maken van de beschikbare goedkope maatregelen.
Wat is het resultaat? In mei 2014 gebruikte een indringer toegangssleutels die publiekelijk door Uber-technici op een site voor het delen van codes waren geplaatst om toegang te krijgen tot de namen en rijbewijsnummers van 100.000 Uber-chauffeurs, evenals tot bepaalde bankrekeninggegevens en burgerservicenummers. Volgens de FTC heeft Uber de overtredingen al bijna vier maanden niet ontdekt.
Voorgestelde schikking Uber verbieden misbruik te maken van zijn privacy- en beveiligingspraktijken. Het vereist ook dat Uber een uitgebreid privacyprogramma implementeert en de komende twintig jaar elke twee jaar onafhankelijke audits door derden uitvoert. U kunt tot 15 september 2017 openbare opmerkingen over de schikking indienen.
Als u of uw klanten persoonlijke informatie van consumenten verzamelen, moet u de aanvraag lezen voor een gedetailleerde uitleg van wat de FTC denkt dat Uber heeft gedaan (en niet heeft gedaan) waardoor de beweringen van het bedrijf over privacy en veiligheid misleidend zijn. Maar de belangrijkste conclusie uit klacht De beschuldiging komt neer op een niet verrassend principe. Consumenten verwachten van alle bedrijven – van fysieke bedrijven tot innovatieve technologiegiganten – dat ze hun privacy- en beveiligingsbeloften nakomen, of ze nu de persoonlijke gegevens van consumenten opslaan in hun eigen systemen of in clouddiensten van derden. Er zijn geen uitzonderingen.
Lezen Begin met beveiliging voor de basis en volg ons Blijf bij de beveiligingsblogserie dieper te duiken.
