FTC sanziona l’amministratore delegato di Drizly per la sicurezza dei dati “incurante” • Il registro

Analisi Il CEO di Drizly, James Cory Rellas, è in prima linea dopo che la sua azienda ha rivelato circa 2,5 milioni di informazioni personali di clienti in un errore di sicurezza informatica.

L’FTC, l’organismo di controllo dei consumatori americano, questa settimana ha proposto sanzioni contro l’app per la consegna di alcolici di proprietà di Uber e il suo amministratore delegato, con la comunicazione a Rellas che dovrà implementare forti protezioni per i dati delle persone ovunque lavori, ora e in futuro.

Un ordine [PDF] redatto dal watchdog “assicura che l’amministratore delegato debba affrontare le conseguenze per la negligenza dell’azienda”, ha affermato in una nota Samuel Levine, direttore del Bureau of Consumer Protection della FTC. “Gli amministratori delegati che prendono scorciatoie sulla sicurezza dovrebbero prenderne nota”.

La repressione proposta richiede anche a Drizly e Rellas di distruggere tutti i dati personali che l’azienda ha conservato che non è necessario per fornire prodotti o servizi ai clienti e impedisce all’azienda di raccogliere questo tipo di informazioni non necessarie sui clienti in futuro.

Inoltre, l’azienda e il suo CEO devono mettere in atto controlli di sicurezza migliori, richiedere ai dipendenti di utilizzare l’autenticazione a più fattori e fornire formazione sulla sicurezza ai propri dipendenti. La FTC deciderà di rendere definitivo l’ordine proposto dopo un periodo di 30 anni in cui il pubblico potrà commentare le sanzioni.

“Prendiamo molto seriamente la privacy e la sicurezza dei consumatori in Drizly e siamo felici di lasciarci alle spalle questo evento del 2020”, ha detto un portavoce di Drizly Il registro.

“Rellas è responsabile di questo fallimento”

Mentre il pasticcio di dati si è verificato nel 2020, la denuncia della FTC [PDF] contro il business ha affermato che le carenze di sicurezza risalgono almeno al 2018, quando un dipendente di Drizly ha pubblicato su GitHub i dettagli di accesso per le risorse di cloud computing Amazon dell’azienda. Ciò ha consentito ai criminali di accedere ai server back-end di Drizly per estrarre la criptovaluta sulle macchine fino a quando il produttore di app non ha cambiato le sue credenziali.

Secondo il reclamo, Drizly ha continuato ad armeggiare con le sue difese IT e nel 2020 queste carenze hanno portato un malfattore a rubare una copia dei dati dei suoi clienti.

Un dirigente aveva avuto accesso all’account GitHub aziendale; questo accesso è stato protetto con una password debole di sette caratteri e nessuna autenticazione a più fattori, ci è stato detto. L’intruso è stato in grado di accedere all’account GitHub dell’exec utilizzando una password ottenuta da una violazione della sicurezza non correlata – quindi sembrerebbe che il dipendente abbia riutilizzato la password anche altrove – e trovare le credenziali del cloud Amazon di Drizly nel codice sorgente privato ed esfiltrare 2,4 milioni record di account da un database utente.

Tale database, secondo l’FTC, potrebbe aver archiviato alcuni o tutti i seguenti dettagli, che sarebbero molto utili per i ladri di identità:

Le password sono state anche crittografate utilizzando bcrypt o MD5, quest’ultimo privo di valore e crackabile.

Il reclamo FTC individua Rellas per questo clusterfsck, affermando che il big cheese era “responsabile di questo fallimento, poiché non ha implementato, o delegato adeguatamente la responsabilità di attuare ragionevoli pratiche di sicurezza delle informazioni”.

La presidente del regolatore Lina Khan e il commissario Alvaro Bedoya hanno aggiunto [PDF] che Rellas “ha presieduto alle pratiche lassiste di Drizly per la sicurezza dei dati”.

Le sanzioni seguiranno Rellas anche se passerà a un’organizzazione diversa. “Nell’economia moderna, i dirigenti aziendali a volte rimbalzano da un’azienda all’altra, nonostante i difetti dei loro precedenti”, hanno osservato Khan e Bedoya.

Per il prossimo decennio, Rellas dovrà implementare un programma di sicurezza IT in qualsiasi azienda che raccolga dati personali da più di 25.000 persone e dove sia un proprietario di maggioranza, un CEO o un alto funzionario con responsabilità di infosec.

L’azione fa parte degli “sforzi aggressivi” dell’agenzia di controllo per proteggere i dati privati ​​e garantire che “gli amministratori delegati negligenti imparino dai loro fallimenti nella sicurezza dei dati”, secondo il comunicato stampa della FTC.

Tuttavia, non tutti – e nemmeno tutti i commissari del regolatore – concordano sul fatto che tenere i piedi degli amministratori delegati al fuoco sia l’approccio giusto.

Nonostante il voto 4-0 della commissione a favore delle sanzioni, il commissario Christine Wilson ha parzialmente dissentito, citando l’inclusione di Rellas nell’ordine. “Sebbene sostengo la denuncia contro l’imputato aziendale, non sostengo che l’imputato individuale, Rellas, sia responsabile”, ha scritto [PDF]. “Questo ampio standard potrebbe effettivamente consentire alla Commissione di ritenere responsabili individualmente gli amministratori delegati della maggior parte delle società contro le quali avviamo azioni esecutive”.

“Nominando Rellas, la Commissione non ha avvisato il mercato che la FTC utilizzerà le sue risorse per prendere di mira pratiche lassiste in materia di sicurezza dei dati”, ha continuato Wilson, più avanti nella sua dichiarazione. “Invece, ha segnalato che l’agenzia sostituirà il proprio giudizio sulle priorità aziendali e sulle decisioni di governance a quelli delle aziende”.

“Aprire il vaso di Pandora”

Mauricio Sanchez, un direttore della ricerca che guida il programma di ricerca sulla sicurezza della rete presso il Gruppo Dell’Oro, ha definito l’ordine, poiché si applica alle future società di Rellas, “senza precedenti”.

“Temo che la FTC abbia aperto un vaso di Pandora senza contemplare completamente gli effetti a lungo termine lungo la strada”, ha detto Il registro.

“Inoltre, non è chiaro se l’FTC abbia un processo per consentire alle persone di contestare questo tipo di decisioni personali, poiché sembra che le seguirà per il resto della loro vita”.

Sanchez ha convenuto che “l’egregia inazione da parte dell’amministratore delegato” ha portato alla violazione di Drizly, ma ha chiesto: “Vogliamo davvero che una burocrazia sia il giudice, la giuria e l’esecutore delle decisioni che sono così personali e di natura a lungo termine ?”

“Spero che respinga gli amministratori delegati della sicurezza sciatti, ma alla fine della giornata non credo che fermerà le violazioni della sicurezza”, ha aggiunto.

Gerry Stegmaier, partner del gruppo tecnologia e dati di Reed Smith, ha affermato che ritenere i dirigenti personalmente responsabili del comportamento aziendale “è stato un recente punto fermo dei funzionari nominati da Biden che cercano di esercitare pressioni per promuovere una maggiore responsabilità aziendale, in particolare per le società tecnologiche, e in particolare in sale riunioni e la C-suite.”

Eppure, ho detto Il registro, non si aspetta che diventi la norma. Tuttavia, può scoraggiare la trasparenza e la responsabilità quando si tratta di violazioni della sicurezza del database.

“È molto più difficile perseguire le persone individualmente per cose che non sapevano”, ha detto Stegmaier. “Insolitamente, in molti sistemi, l’aumento della responsabilità diretta personale può interferire con gli effettivi miglioramenti nella sicurezza, nella privacy o con obiettivi di conformità comparabili”.

Sebbene ritenere un amministratore delegato responsabile di una violazione della sicurezza sia “una china scivolosa”, secondo Brian Mannion, chief legal and data protection officer di Aware, l’azione dell’FTC potrebbe significare potere aggiuntivo – o almeno un budget maggiore – per il capo della sicurezza delle informazioni ufficiali (CISO).

“Questa azione di contrasto fornirà sicuramente ai CISO più munizioni quando tenteranno di implementare controlli di sicurezza appropriati”, ha detto Mannion Il registro.

Ciò è particolarmente vero se non vogliono seguire le orme dell’ex capo della sicurezza di Uber Joe Sullivan. ®

Leave a Comment

Your email address will not be published. Required fields are marked *