Uber 위반으로 제기 된 "심각한 문제"를 평가하는 FTC

https://techcrunch.com/2017/11/23/ftc-evaluating-serious-issues-raised-by-uber-breach/?ncid=rss

FTC는 화요일 블룸버그에 세부 사항을 전달함으로써 새로운 CEO 인 다라 코스로 샤 히 (Dara Khosrowshahi) 하에서 회사가 드디어 공개 한 1 년 중 가장 좋은 부분을 은폐 한 우버 (Uber) 데이터 유출에 관한 성명서를 발표 했다 .

어제 늦게 연방 당국 대변인은 로이터 통신에 "우리는 2016 년 말 Uber와 우버 (Uber) 당국자들의 행동이 위반 된 이후의 행동에 대한 언론 보도를 알고있다. 우리는 제기 된 심각한 문제를 면밀히 평가하고 있습니다. "

2016 년 10 월 해커는 5 천 7 백만 명의 Uber 사용자 및 드라이버로부터 개인 데이터를 도난 당했으며 전 세계 50 만명의 Uber 라이더의 이름, 이메일 주소 및 전화 번호, 약 7 백만명의 운전자에 대한 개인 정보 - 약 60 만명의 미국 운전 면허증 번호.

Uber가 2014 년과 2015 년으로 거슬러 올라간 보안 및 사생활 침해에 대한 사전 조사를 완료했을 뿐이므로 이번 여름 FDA의 성명서는 중요  합니다. 20 년 동안의 외부 감사 에 동의하고 동의의 여러 조건을 준수하기로 결정했습니다. 주문.

FTC가 조사한 보안 위반은 2014 년 5 월 위반시 약 10 만 명의 Uber 드라이버의 개인 데이터로 접근하여 새로 공개 된 2016 년 위반보다 훨씬 적습니다.

두 공격에 사용 된 공격 벡터는 본질적으로 동일합니다. 2014 년에 엔지니어가 GitHub에 공개적으로 키를 게시 한 후 Uber가 Amazon S3 데이터 스토어에 액세스했습니다 (일반 텍스트로 데이터 저장).

2016 년 공격자는 Uber 소프트웨어 엔지니어가 사용하는 개인 GitHub 코딩 사이트에 액세스하여 로그인 자격 증명을 획득하고이를 사용하여 라이더 및 드라이버 데이터 아카이브를 발굴 한 Amazon Web Services 계정에 저장된 데이터에 액세스 할 수있었습니다.

Uber가 공개적으로 액세스 할 수있는 위치에 액세스 키를 입력했기 때문에 Uber는 1 년에 2 번 정도의 공격이 일어나지 않도록 허용했기 때문에 보안이 거의 고려되지 않았 음을 나타냅니다.

2014 년과 2015 년의 불만을 해결 한 FTC의  동의 명령 은 Uber가 개인 정보, 기밀 유지, 보안 또는 취급하고 저장하는 개인 정보의 무결성을 어떻게 허위 진술하지 못하게합니다.

그러나 거의 즉시 우버 (Uber)는 합의를 위반 한 것으로 보이는 명령에 서명했습니다. 2016 년의 훨씬 더 큰 위반을 (FTC 또는 회사 외부의 누구에게도) 공개하지 않은 채 계약을 체결했습니다. 그리고 FTC의 동의 명령을 위반하면 민사 처벌이 내려 질 수 있습니다.

Ballard Spahr의 전직 연방 사이버 범죄 담당 검사 인 Ed McAndrew는 CNET 과의 인터뷰에서 "그들은 잉크가 마르기 전에 FTC의 동의 명령을 위반 한 것으로 보입니다 .

우리는 UTC가 Uber이 사전 동의 명령을 위반했다고 생각하는지 여부와 2016 년 위반에 대한 정식 조사를 실시하려는 의도가 있는지 여부를 묻기 위해 FTC에 연락했으며,이 이야기를 응답으로 업데이트 할 것입니다.

또한 미국은 현재 회사가 데이터 유출에 대해 대중에게 알리도록 요구하는 연방법을 가지고 있지 않지만 대다수의 국가 는 일반적으로 공개 된 1 년의 시간보다 훨씬 엄격한 자체 위반 신고 법규를제정  했습니다  .

그래서 우버 (Uber)는 그 위반을 너무 오랫동안 숨겨서 주법을 위반했을 것입니다.

위반 된 데이터 중 일부는 미국 외 시장에서도 발생합니다. 다른 시장의 규제 기관은 더 엄격해질 수 있습니다. 예를 들어 유럽 연합 (European Union)에서 2018 년 5 월에 착수하는 새로운 법률은 28 개 EU 회원국에 대해 단일 위반 통지 표준을 가져와 데이터 컨트롤러가 규제 기관에 개인 데이터가 알게 된 지 72 시간 이내에 위반되었다고 알릴 것을 요구합니다 침입.

그리고 그 법이 강제로 시행되지는 않지만 위반 사실 공개에 대한 기대가 EU 전역의 새로운 기준을 충족시키기 위해 재설정되고 있습니다.

어제 , 예를 들어, 영국의 데이터 감시단은 Uber 데이터 유출이 은닉 된 사실이 "엄청난 우려를 불러 일으켰습니다."고 밝혔으며, 규제 당국의 침해를 의도적으로 은폐하는 회사는 더 높은 벌금을 부과 할 수 있다고 경고했습니다.