(图片插图由蒂亚戈Prudêncio/SOPA Images/LightRocket via Getty Images)
美国联邦贸易委员会正在惩罚优步旗下的送酒服务提供商Drizly,因为该公司未能阻止2020年的数据泄露,导致250万消费者陷入困境。
根据(在一个新窗口中打开)向联邦贸易委员会表示,如果Drizly的高管们在2018年早些时候注意到关于其不良安全措施的警告,就可以防止此次入侵。但它没有这样做,导致一名黑客窃取了250万名客户的数据,这些数据后来被卖到网上。
Drizly已经同意(在一个新窗口中打开)到去年710万美元的集体诉讼和解金。但在周一,联邦贸易委员会宣布,它已与该公司达成了一项额外的和解协议,以防止该公司再次错误处理用户数据。
该命令要求Drizly销毁任何不需要的消费者数据,避免从客户那里收集任何其他不必要的信息,并实施全面的网络安全实践。这包括执行多因素身份验证为员工和监控访问公司的数据库。
联邦贸易委员会的命令也很突出,它要求Drizly的首席执行官科里·雷拉斯(Cory Rellas)如果最终领导一家新公司,也必须遵守同样的要求。
“在现代经济中,企业高管经常从一家公司跳槽到另一家公司,尽管他们的过往记录有瑕疵。认识到这一现实,即使Rellas离开Drizly,委员会提出的命令也将紧随其后。”
该命令还表明,联邦贸易委员会准备打击其他在网络安全方面失职的公司。“那些在安全问题上走捷径的ceo们应该注意了,”美国联邦贸易委员会消费者保护局局长塞缪尔•莱文说。(今年早些时候,联邦贸易委员会发布(在一个新窗口中打开)针对CafePress的类似命令,指控其试图掩盖过去的数据泄露事件。)
Drizly在一份声明中只是说:“Drizly非常重视消费者的隐私和安全,很高兴把2020年的活动抛在脑后。”优步于2021年收购了该公司。
据美国联邦贸易委员会称,该公司被入侵的原因是一名高管在2018年重用了Drizly的GitHub仓库账户上的密码。尽管只有一天的黑客马拉松活动才需要访问GitHub存储库,但这位高管仍然可以访问GitHub存储库。两年后,一名黑客从另一起数据泄露事件中发现了这名高管的密码,并利用它访问了GitHub存储库。这帮助黑客发现了Drizly软件中的漏洞,进一步解锁了对该公司系统的访问。
联邦贸易委员会表示,Drizly应该知道该公司围绕GitHub的不良安全实践构成了风险。这是因为2018年,drizzly的另一名员工不小心将公司的云计算账户登录信息发布到了自己的GitHub存储库中。这导致黑客利用暴露的登录凭证在Drizly的服务器上挖掘加密货币。
FTC的报告称:“Drizly自己在数据泄露后的分析得出的结论是,该公司缺乏安全准备,包括未能运行正式的安全程序或实践基本的安全卫生,都是数据泄露的结果。投诉(在一个新窗口中打开)补充道。
