.
Análise O CEO da Drizly, James Cory Rellas, está na linha de fogo depois que sua empresa expôs informações pessoais de cerca de 2,5 milhões de clientes em um erro de segurança do computador.
A FTC, o órgão de fiscalização do consumidor dos Estados Unidos, propôs nesta semana sanções contra o aplicativo de entrega de bebidas de propriedade da Uber e seu presidente-executivo, com Rellas sendo informado de que terá que implementar fortes proteções para os dados das pessoas onde quer que trabalhe, agora e no futuro.
Uma ordem [PDF] elaborado pelo cão de guarda “garante que o CEO enfrente as consequências do descuido da empresa”, disse Samuel Levine, diretor do Bureau of Consumer Protection da FTC, em um comunicado. declaração. “Os CEOs que tomam atalhos na segurança devem tomar nota.”
A repressão proposta também exige que Drizly e Rellas destruam quaisquer dados pessoais que a empresa tenha retido que não sejam necessários para fornecer produtos ou serviços aos clientes e impede que a empresa colete esse tipo de informação desnecessária do cliente no futuro.
Além disso, a empresa e seu CEO devem implementar melhores controles de segurança, exigir que os funcionários usem autenticação multifator e fornecer treinamento de segurança para seus funcionários. A FTC decidirá tornar a ordem proposta final após um período de 30 em que o público pode comentar sobre as sanções.
“Levamos a privacidade e a segurança do consumidor muito a sério na Drizly e estamos felizes em deixar este evento de 2020 para trás”, disse um porta-voz da Drizly. Strong The One.
‘Rellas é responsável por esta falha’
Embora a confusão de dados tenha ocorrido em 2020, a reclamação da FTC [PDF] contra o biz afirmou que as falhas de segurança datam de pelo menos 2018, quando um funcionário da Drizly postou no GitHub detalhes de login para os recursos de computação em nuvem da Amazon da empresa. Isso deu aos criminosos acesso aos servidores de back-end da Drizly para minerar criptomoedas nas máquinas até que o criador do aplicativo alterasse suas credenciais.
De acordo com a reclamação, Drizly continuou a atrapalhar suas defesas de TI e, em 2020, essas deficiências levaram um criminoso a roubar uma cópia dos dados de seus clientes.
Um executivo recebeu acesso à conta corporativa do GitHub; esse acesso foi protegido com uma senha fraca de sete caracteres e sem autenticação multifator, nos disseram. O intruso conseguiu fazer login na conta do GitHub do executivo usando uma senha obtida de uma violação de segurança não relacionada – então parece que o funcionário também reutilizou a senha em outro lugar – e encontrou as credenciais da nuvem da Amazon de Drizly no código-fonte privado e exfiltrar 2,4 milhões registros de contas de um banco de dados de usuários.
Esse banco de dados, de acordo com a FTC, pode ter armazenado alguns ou todos os detalhes a seguir, o que seria mais útil para ladrões de identidade:
As senhas também foram hash usando bcrypt ou MD5, sendo este último inútil e quebrável.
A reclamação da FTC destaca Rellas para este clusterfsck, afirmando que o grande queijo foi “responsável por essa falha, pois ele não implementou ou delegou adequadamente a responsabilidade de implementar práticas razoáveis de segurança da informação”.
A presidente do regulador, Lina Khan, e o comissário Alvaro Bedoya acrescentaram [PDF] que Rellas “presidiu as negligentes práticas de segurança de dados de Drizly”.
As sanções seguirão Rellas mesmo que ele mude para uma organização diferente. “Na economia moderna, os executivos corporativos às vezes saltam de empresa para empresa, apesar de falhas em seu histórico”, observaram Khan e Bedoya.
Para a próxima década, Rellas será obrigado a implementar um programa de segurança de TI em qualquer empresa que colete dados pessoais de mais de 25.000 pessoas, e onde ele seja proprietário majoritário, CEO ou executivo sênior com responsabilidades de segurança da informação.
A ação faz parte dos “esforços agressivos” da agência de vigilância para proteger dados privados e garantir que “CEOs descuidados aprendam com suas falhas de segurança de dados”, de acordo com o comunicado de imprensa da FTC.
No entanto, nem todos – e nem mesmo todos os comissários do regulador – concordam que manter os pés dos CEOs no fogo é a abordagem correta.
Apesar do voto de 4 a 0 da comissão a favor das sanções, a comissária Christine Wilson discordou parcialmente, citando a inclusão de Rellas na ordem. “Embora eu apoie a queixa contra o réu corporativo, não apoio a responsabilização do réu individual, Rellas”, escreveu ela. [PDF]. “Esse padrão amplo poderia efetivamente permitir que a Comissão responsabilizasse individualmente os CEOs da maioria das empresas contra as quais iniciamos uma ação de execução”.
“Ao nomear Rellas, a Comissão não avisou o mercado de que a FTC usará seus recursos para atacar práticas negligentes de segurança de dados”, continuou Wilson, mais tarde em sua declaração. “Em vez disso, sinalizou que a agência substituirá seu próprio julgamento sobre prioridades corporativas e decisões de governança pelas empresas.”
‘Abrindo a caixa de Pandora’
Mauricio Sanchez, diretor de pesquisa que lidera o programa de pesquisa de segurança de rede do Dell’Oro Group, chamou a ordem, uma vez que se aplica às futuras empresas de Rellas, “sem precedentes”.
“Temo que a FTC tenha aberto uma caixa de Pandora sem contemplar totalmente os efeitos a longo prazo no futuro”, disse ele. Strong The One.
“Além disso, não está claro se a FTC tem um processo para os indivíduos contestarem esse tipo de decisão pessoal, já que parece que os seguirá pelo resto de suas vidas”.
Sanchez concordou que “inação flagrante por parte do CEO” levou à violação Drizly, mas perguntou: “Nós realmente queremos que a burocracia seja o juiz, júri e executor em decisões que são tão pessoais e de natureza de longo prazo? “
“Espero que isso afaste os CEOs de segurança desleixados, mas no final das contas não acho que isso impedirá as violações de segurança”, acrescentou.
Gerry Stegmaier, sócio do grupo de tecnologia e dados de Reed Smith, disse que responsabilizar os executivos pessoalmente pelo comportamento da empresa “tem sido um grampo recente de funcionários nomeados por Biden que buscam pressionar para aumentar a responsabilidade corporativa – especialmente para empresas de tecnologia, e particularmente em salas de reuniões e o C-suite.”
Ainda assim, ele contou Strong The One, ele não espera que isso se torne a norma. No entanto, pode desencorajar a transparência e a responsabilidade quando se trata de violações de segurança de banco de dados.
“É muito mais difícil processar pessoas individualmente por coisas que elas não sabiam”, disse Stegmaier. “Excepcionalmente, em muitos sistemas, aumentar a responsabilidade direta pessoal pode interferir nas melhorias reais em segurança, privacidade ou metas de conformidade comparáveis”.
Embora responsabilizar um executivo-chefe por uma violação de segurança seja “uma ladeira escorregadia”, de acordo com Brian Mannion, diretor jurídico e de proteção de dados da Aware, a ação da FTC pode significar poder adicional – ou pelo menos um orçamento maior – para o chefe de segurança da informação oficiais (CISOs).
“Esta ação de fiscalização certamente fornecerá mais munição aos CISOs ao tentar implementar controles de segurança apropriados”, disse Mannion. Strong The One.
Isso é especialmente verdade se eles não querem siga os passos do ex-chefe de segurança da Uber, Joe Sullivan. ®
.
