FTC به دنبال جریمه Drizly و مدیر عامل آن به دلیل نقض اطلاعات 2.5 میلیون کاربر است.

کمیسیون تجارت فدرال می خواهد مقدار اطلاعات شخصی را که Drizly می تواند به عنوان بخشی از اقدامات اجرایی که علیه بازار و مدیر عامل آن پیشنهاد می کند جمع آوری کند، محدود کند. به گفته FTC، سرویس تحویل الکل که اوبر در سال 2021 خریداری کرده بود و مدیر اجرایی آن، جیمز کوری رلاس، در سال 2018 در مورد مسائل امنیتی هشدار داده شدند. کمیسیون دریافته است که آنها نتوانسته اند به اندازه کافی از اطلاعات کاربران خود محافظت کنند. که در سال 2020 یک نقض داده را فعال کرد که اطلاعات 2.5 میلیون کاربر را در معرض دید قرار داد.

بر اساس شکایت اصلی FTC، یکی از کارمندان Drizly در سال 2018 ورود به سیستم شرکت را برای حساب ابری خدمات وب آمازون (AWS) خود در GitHub در GitHub پست کرد. Drizly جزئیات کاربران مانند ایمیل، آدرس پستی، شماره تلفن و حتی منحصر به فرد آنها را ذخیره می کند. دستگاه شناسایی، اطلاعات موقعیت جغرافیایی و سایر داده‌های خریداری شده از اشخاص ثالث را که می‌توان در AWS به آنها پیوند داد. هکرها توانستند از این لاگین ها برای نفوذ به سرورهای Drizly و استفاده از آنها برای استخراج ارزهای دیجیتال استفاده کنند.

در حالی که Drizly با تغییر اطلاعات ورود خود، کنترل خود را به دست گرفت، FTC می‌گوید علیرغم ادعای علنی که این کار را انجام داده است، در اجرای «ضمانت‌های معقول» برای محافظت از کاربران و رسیدگی به مسائل امنیتی خود شکست خورده است. در سال 2020، یک هکر توانست به حساب یکی از کارمندان وارد شود و به GitHub شرکت دسترسی پیدا کند. سپس پایگاه داده Drizly را هک کردند و اطلاعات شخصی 2.5 میلیون مشتری را که از آن زمان برای فروش در حداقل دو وب سایت مختلف در وب تاریک ارائه شده بود، به سرقت بردند.

FTC می گوید که این رویدادها به دلیل اقدامات امنیتی ضعیف Drizly امکان پذیر شده است، مانند عدم الزام کارمندان به استفاده از دو عامل برای GitHub، جایی که اطلاعات ورود به سیستم را ذخیره می کند. FTC اضافه می‌کند که Drizly دسترسی کارگران به داده‌های شخصی کاربران را محدود نمی‌کند و هیچ مدیر ارشدی بر اقدامات امنیتی آن نظارت ندارد.

طبق دستورات پیشنهادی FTC، Drizly باید هر گونه اطلاعات شخصی را که قبلا جمع آوری کرده و برای ارائه خدمات آن ضروری نیست، از بین ببرد. همچنین باید از جمع آوری داده های غیر ضروری در آینده خودداری کند و باید اطلاعات مورد نیاز خود را از کاربران در وب سایت خود به صورت عمومی فاش کند. علاوه بر این، باید یک برنامه امنیتی جامع را اجرا کند و یک مدیر اجرایی برای نظارت بر عملیات خود منصوب کند.

این کمیسیون همچنین دستوراتی را صادر کرده است که شخصاً برای رلاس به دلیل نقشی که او در ریاست بر اقدامات امنیتی ضعیف دریزلی ایفا کرده است، اعمال می شود. اگر رلاس تصمیم بگیرد سرویس تحویل الکل را ترک کند، همچنان ملزم به اجرای یک برنامه امنیت اطلاعات در شرکت‌های آینده است که در آن نقش مدیر عامل، مالک اکثریت یا مدیر ارشد مرتبط با امنیت را بر عهده می‌گیرد. همانطور که واشنگتن پست اشاره می کند، FTC در گذشته به ندرت مدیرانی را در موارد نقض امنیتی مشابه مشخص می کرد و این نشان دهنده رویکرد جدیدی در رسیدگی به شرکت ها با اقدامات امنیتی ناکافی است.

ساموئل لوین، مدیر دفتر حمایت از مصرف کننده FTC در بیانیه ای گفت:

“حکم پیشنهادی ما علیه Drizly نه تنها چیزی را که شرکت می‌تواند در آینده حفظ و جمع‌آوری کند محدود می‌کند، بلکه تضمین می‌کند که مدیر عامل با عواقب بی‌احتیاطی شرکت مواجه خواهد شد. مدیران عاملی که میانبرهایی را در مورد امنیت انجام می‌دهند باید توجه داشته باشند.”
FTC این دستورات پیشنهادی را به زودی منتشر خواهد کرد و قبل از اینکه کمیسیون تصمیم بگیرد که آیا آنها را رسمی می کند، آنها به مدت 30 روز برای اظهار نظر عمومی باز خواهند بود.