బీర్, వైన్, డిస్టిల్డ్ స్పిరిట్స్ – మరియు డ్రిజ్లీ యొక్క ఆరోపించిన భద్రతా లోపాల నుండి 2.5 మిలియన్లకు పైగా వ్యక్తిగత సమాచారాన్ని దొంగిలించడానికి దారితీసిన కారణంగా డ్రిజ్లీ కస్టమర్‌ల కోసం మీ డోర్‌కు మరియు డ్రిజ్లీ కస్టమర్ల కోసం మీరు చాలా ఎక్కువ డెలివరీ చేయవచ్చని వారు అంటున్నారు. వినియోగదారులు మరియు డార్క్ వెబ్‌లో మళ్లీ కనిపించడం. డ్రిజ్లీతో ప్రతిపాదిత పరిష్కారం FTC చట్టాన్ని ఉల్లంఘిస్తూ, అన్యాయంగా మరియు మోసపూరితంగా ఆరోపించబడిన కంపెనీ చర్యలను – మరియు నిష్క్రియాత్మకతలను పరిష్కరిస్తుంది. కానీ అదనపు సిట్-అప్-అండ్-టేక్-నోటీస్ నిబంధనలు ఉన్నాయి, వాటిలో కొన్ని డ్రిజ్లీ యొక్క డేటా సేకరణ విధానాలను ముందుకు తీసుకువెళతాయి. మరొక ముఖ్యమైన పరిణామం ఏమిటంటే, ఫిర్యాదు డ్రిజ్లీ CEO జేమ్స్ కోరీ రెల్లాస్‌ను కొన్ని ఉల్లంఘనలకు వ్యక్తిగతంగా బాధ్యులుగా పేర్కొంది మరియు ప్రతిపాదిత పరిష్కారం భవిష్యత్తులో వ్యాపార ప్రయత్నాలలో వ్యక్తిగతంగా రెల్లాస్‌కు వర్తించే సమాచార భద్రతా నిబంధనలను విధించింది.

డ్రిజ్లీ ఒక ఇ-కామర్స్ ప్లాట్‌ఫారమ్‌ను నిర్వహిస్తుంది, ఇది స్థానిక రిటైలర్‌లు చట్టపరమైన మద్యపాన వయస్సు గల వ్యక్తులకు ఆన్‌లైన్‌లో మద్యం విక్రయించడానికి వీలు కల్పిస్తుంది. ఒక కస్టమర్ డ్రిజ్లీ వెబ్‌సైట్ లేదా యాప్‌లో ఆర్డర్ చేస్తారు మరియు రిటైలర్ డెలివరీని సులభతరం చేస్తాడు. దాని వ్యాపారంలో, డ్రిజ్లీ కస్టమర్ల నుండి అనేక సమాచారాన్ని సేకరించింది. డ్రిజ్లీ అని వారికి హామీ ఇచ్చారు “(a)మేము సేకరించే సమాచారం సురక్షితంగా నిల్వ చేయబడుతుంది” మరియు కంపెనీ “మేము మీ నుండి సేకరించే సమాచారాన్ని రక్షించడానికి ఎన్‌క్రిప్షన్ మరియు ఫైర్‌వాల్‌ల వంటి ప్రామాణిక భద్రతా పద్ధతులను ఉపయోగిస్తుంది.”

డ్రిజ్లీ వాగ్దానం చేసినది అదే, కానీ FTC కంపెనీ భిన్నమైన కథను చెప్పే అన్యాయమైన మరియు మోసపూరిత పద్ధతులలో నిమగ్నమైందని చెప్పింది. మీరు చదవాలనుకుంటున్నారు ఫిర్యాదు తెరవెనుక ఆరోపణలను పరిశీలించడం కోసం, కానీ ఇక్కడ షార్ట్‌హ్యాండ్ వెర్షన్ ఉంది.

కంపెనీ ఇన్ఫర్మేషన్ టెక్నాలజీ మౌలిక సదుపాయాలు కీలకమైన ప్రారంభ స్థానం. అమెజాన్ వెబ్ సర్వీసెస్ (AWS) అందించిన థర్డ్-పార్టీ క్లౌడ్ సర్వీస్ – తన ఇ-కామర్స్ ప్లాట్‌ఫారమ్‌ను నిర్వహించే సాఫ్ట్‌వేర్‌ను హోస్ట్ చేయడానికి డ్రిజ్లీ అమెజాన్ రిలేషనల్ డేటాబేస్ సర్వీస్‌ని ఉపయోగించింది. పాస్‌వర్డ్‌లతో సహా గణనీయమైన మొత్తంలో కస్టమర్ డేటాను కంపెనీ నిల్వ చేసింది. పాస్‌వర్డ్‌లు హ్యాష్ చేయబడినప్పటికీ – కొత్త విలువలుగా మార్చబడినప్పటికీ అవి సాదా వచనంలో నిల్వ చేయబడవు – డ్రిజ్లీ FTC “క్రిప్టోగ్రాఫికల్‌గా విరిగిపోయిన మరియు విస్తృతంగా అసురక్షితంగా పరిగణించబడేది” అని వివరించిన కనీసం ఒక వాడుకలో లేని పద్ధతిని ఉపయోగించింది.

Drizly కంపెనీ వెబ్‌సైట్ మరియు యాప్‌ల కోసం సోర్స్ కోడ్‌ను అభివృద్ధి చేయడానికి, నిర్వహించడానికి మరియు నిల్వ చేయడానికి GitHub సాఫ్ట్‌వేర్ ప్లాట్‌ఫారమ్‌ను కూడా ఉపయోగించింది. ఏప్రిల్ 2018లో, డ్రిజ్లీ తన ఎగ్జిక్యూటివ్‌లలో ఒకరికి ఒకరోజు ఈవెంట్ కోసం GitHub రిపోజిటరీలకు యాక్సెస్ ఇచ్చింది. అయితే, ఆ వ్యక్తికి డేటా కోసం ఎటువంటి వ్యాపార అవసరం లేనప్పటికీ, డ్రిజ్లీ ఎగ్జిక్యూటివ్ యాక్సెస్‌ను ఆఫ్ చేయలేదని FTC చెప్పింది. అయినప్పటికీ, GitHubని యాక్సెస్ చేయడంలో, ఎగ్జిక్యూటివ్ వ్యక్తిగత ఖాతాల కోసం ఎగ్జిక్యూటివ్ ఇప్పటికే ఉపయోగించిన ఏడు-అక్షరాల పాస్‌వర్డ్‌ను మళ్లీ ఉపయోగించారు – మరియు పాస్‌వర్డ్ భద్రత గురించి ఆందోళన చెందుతున్న వ్యక్తులు తర్వాత ఏమి జరిగిందో ఊహించగలరు.

ఏదో ఒక సమయంలో, ఒక హానికరమైన నటుడు మరొక కంపెనీలో డేటా ఉల్లంఘన సమయంలో దొంగిలించబడిన పాస్‌వర్డ్‌లను స్వాధీనం చేసుకున్నాడు. పర్లోయిన్ చేయబడిన డేటాలో డ్రిజ్లీ ఎగ్జిక్యూటివ్ GitHubలో తిరిగి ఉపయోగించిన ఏడు అక్షరాల పాస్‌వర్డ్ కూడా ఉంది. జూలై 2020లో, GitHubలో డ్రిజ్లీ కోడ్‌ని యాక్సెస్ చేయడానికి ఒక చొరబాటుదారుడు రీసైకిల్ చేసిన పాస్‌వర్డ్‌ని ఉపయోగించాడు.

ఇక్కడే ది ఫిర్యాదు పాత లాగా వినిపించడం ప్రారంభిస్తుంది “ఒక గోరు కోసం . . .” సామెత. డ్రిజ్లీ యొక్క గిట్‌హబ్ రిపోజిటరీలలో ఒకసారి, చొరబాటుదారుడు డ్రిజ్లీ యొక్క AWS మరియు డేటాబేస్ ఆధారాలను యాక్సెస్ చేయగలిగాడు. చొరబాటుదారుడు డ్రిజ్లీ యొక్క AWS భద్రతా సెట్టింగ్‌లను సవరించడానికి రాజీపడిన ఆధారాలను ఉపయోగించాడు. ఆ సవరణ చొరబాటుదారుడికి డ్రిజ్లీ యొక్క వినియోగదారు డేటాబేస్‌లకు అపరిమితమైన ప్రాప్యతను ఇచ్చింది. ఫలితం: చొరబాటుదారుడు 2.5 మిలియన్ల కంటే ఎక్కువ మంది వినియోగదారుల డేటాను దొంగిలించాడు.

డ్రిజ్లీ స్వయంగా ఉల్లంఘనను గుర్తించలేదని FTC చెప్పింది. తన కస్టమర్ల ఖాతాలు డార్క్ వెబ్‌లో విక్రయించబడుతున్నాయని ప్రెస్ మరియు సోషల్ మీడియా నివేదికల నుండి కంపెనీ తెలుసుకుంది. కానీ యోగి బెర్రాను ఉటంకిస్తూ, కొంతమంది డ్రిజ్లీ ఎగ్జిక్యూటివ్‌ల కోసం, ఉల్లంఘన వార్త “దేజా వూ” అయి ఉండాలి. ఎందుకంటే 2018లో ఒక ఉద్యోగి డ్రిజ్లీ యొక్క AWS ఆధారాలను వారి పబ్లిక్‌గా యాక్సెస్ చేయగల వ్యక్తిగత GitHub రిపోజిటరీకి పోస్ట్ చేసినప్పుడు డ్రిజ్లీ ఇలాంటి భద్రతా సంఘటనను ఎదుర్కొన్నాడు. ఆ ప్రారంభ ఎపిసోడ్ ఫలితంగా, డ్రిజ్లీ యొక్క AWS సర్వర్‌లు క్రిప్టోకరెన్సీని గని చేయడానికి ఉపయోగించబడ్డాయి, చివరికి డ్రిజ్లీ ఆధారాలను మార్చే వరకు. అందువల్ల, ఫిర్యాదు ప్రకారం, డ్రిజ్లీ “AWS ఆధారాలను బహిర్గతం చేయడం వల్ల కలిగే ప్రమాదాల గురించి గమనించబడింది మరియు GitHub భద్రతను మెరుగుపరచడానికి తగిన చర్యలు తీసుకోవాలి.”

2020లో వినియోగదారుల సమాచారం యొక్క ప్రధాన ఉల్లంఘనను నిరోధించే ప్రయత్నంలో డ్రిజ్లీ ఏమి చేసి ఉండవచ్చు? చాలా, FTC చెప్పారు. మళ్ళీ, ఫిర్యాదు వివరణాత్మక విశ్లేషణను అందిస్తుంది, అయితే ఇక్కడ డ్రిజ్లీ యొక్క కొన్ని తప్పులు మాత్రమే ఉల్లంఘన ప్రభావాన్ని పెంచాయని FTC చెప్పింది:

  • డ్రిజ్లీ తగిన వ్రాతపూర్వక భద్రతా ప్రమాణాలను అభివృద్ధి చేయడంలో మరియు అమలు చేయడంలో విఫలమైంది మరియు కంపెనీ విధానాలకు అనుగుణంగా ఇంజనీర్‌లతో సహా ఉద్యోగులకు శిక్షణ ఇచ్చింది.
  • డ్రిజ్లీ AWS మరియు డేటాబేస్ లాగిన్ ఆధారాలను సురక్షితంగా నిల్వ చేయడంలో విఫలమైంది.
  • ఉద్యోగులు మరెక్కడా ఉపయోగించని ప్రత్యేకమైన, సంక్లిష్టమైన పాస్‌వర్డ్‌లను కోరడంలో డ్రిజ్లీ విఫలమైంది మరియు ఉద్యోగి లేదా కాంట్రాక్టర్‌కు సున్నితమైన సమాచారం కోసం చట్టబద్ధమైన అవసరం లేనప్పుడు యాక్సెస్‌ను ముగించలేదు.
  • డ్రిజ్లీ తన నెట్‌వర్క్ వెలుపల వినియోగదారు డేటాను బదిలీ చేయడానికి అనధికారిక ప్రయత్నాలను తగినంతగా పర్యవేక్షించడంలో విఫలమైంది.
  • డ్రిజ్లీ తన ఉత్పత్తులు మరియు యాప్‌ల యొక్క భద్రతా లక్షణాలను సముచితంగా పరీక్షించలేదు మరియు ఆవర్తన దుర్బలత్వ పరీక్షను నిర్వహించడంలో విఫలమైంది.

FTC కూడా డ్రిజ్లీ తన నెట్‌వర్క్‌లో ఉండకూడని వినియోగదారు సమాచారాన్ని జాబితా చేయడానికి మరియు తొలగించడానికి విధానాలను కలిగి లేదని కూడా ఆరోపించింది. FTC యొక్క ప్రతిపాదిత ఆర్డర్‌లో కొత్త నిబంధనలకు ఇది ఒక ముఖ్య కారణం అయినందున దానిలో ఒక్క క్షణం పిన్ ఉంచండి.

కేసును పరిష్కరించడానికిFTC డేటా కేసుల్లో ప్రామాణికంగా మారిన మెరుగైన భద్రతా పద్ధతులను అమలు చేయడానికి డ్రిజ్లీ అంగీకరించింది. ఇప్పుడు ఆ అదనపు ఆర్డర్ నిబంధనల కోసం ఫిర్యాదులో ఆరోపించిన ఉల్లంఘనలను పరిష్కరించడానికి మరియు భవిష్యత్తులో వినియోగదారులను రక్షించడానికి రూపొందించబడింది. తీసుకోవడం FTC యొక్క ఇటీవలి CafePress పరిష్కారం ఒక అడుగు ముందుకు, ప్రతిపాదిత భాగం II డ్రిజ్లీ ఆర్డర్ ఉత్పత్తులు లేదా సేవలను అందించడానికి సంబంధించి డేటా ఉపయోగించబడనప్పుడు లేదా అలాగే ఉంచబడనట్లయితే, కంపెనీ తన ఆధీనంలో ఉన్న వినియోగదారు సమాచారాన్ని విస్తృత వర్గాలను తొలగించడం లేదా నాశనం చేయడం అవసరం. పార్ట్ II కంపెనీ నిలుపుదల షెడ్యూల్‌లో వివరించిన నిర్దిష్ట ప్రయోజనాల కోసం అవసరం లేని వినియోగదారుల సమాచారాన్ని “సేకరించడం లేదా నిర్వహించడం మానుకోవడం” అవసరం – మీ ప్రత్యేక శ్రద్ధకు హామీ ఇచ్చే కొత్త నిబంధన. ప్రతిపాదిత ఆర్డర్‌లోని పార్ట్ IIIకి డ్రిజ్లీ తన వెబ్‌సైట్ మరియు యాప్‌లలో విస్తృత వర్గాల వినియోగదారుల డేటా కోసం నిలుపుదల షెడ్యూల్‌ను ప్రదర్శించాల్సిన అవసరం ఉంది, డ్రిజ్లీ మొదటి స్థానంలో సమాచారాన్ని ఎందుకు సేకరిస్తోంది, దానిని ఎందుకు పట్టుకోవాలి మరియు దాని కోసం కాలపరిమితిని వివరిస్తుంది. చివరికి తొలగింపు. డేటా కనిష్టీకరణ యొక్క కంపెనీ-వ్యాప్త పాలసీని తప్పనిసరి చేయాలా అని మీరు మీరే ప్రశ్నించుకుంటే, సమాధానం అవును, అది చేస్తుంది.

డ్రిజ్లీ తన నెట్‌వర్క్‌లో లేని వినియోగదారు సమాచారాన్ని తొలగించే ప్రక్రియను కలిగి ఉండకపోవడానికి సంబంధించిన పుట్-ఎ-పిన్-ఇన్-ఇట్ ఫిర్యాదు ఆరోపణతో ఆ నిబంధనలు ముడిపడి ఉన్నాయి. ఫిర్యాదు ఆరోపించినట్లుగా, డ్రిజ్లీ ఆ డేటాను వ్యాపార ప్రయోజనాల కోసం ఉపయోగించడం లేదు, అయితే కంపెనీ యొక్క లాక్ సెక్యూరిటీని సద్వినియోగం చేసుకున్న చొరబాటుదారుడికి ఇది ఖచ్చితంగా విలువైనది.

ఇప్పుడు కొన్ని ఉల్లంఘనలకు డ్రిజ్లీ CEO రెల్లాస్ వ్యక్తిగతంగా బాధ్యత వహించే నిబంధన కోసం. అతని ఆరోపించిన ప్రవర్తన యొక్క వివరణాత్మక వివరణ కోసం మీరు ఫిర్యాదును చదవాలనుకుంటున్నారు, అయితే కార్పొరేట్ ఎగ్జిక్యూటివ్‌లు వినవలసిన భాగం ఇక్కడ ఉంది. ది ప్రతిపాదిత ఆర్డర్ తదుపరి 10 సంవత్సరాలకు, CEO రెల్లాస్ వినియోగదారు సమాచారాన్ని సేకరించే లేదా కొన్ని ఇతర ఉన్నత-స్థాయి పాత్రలలో ఉద్యోగం చేసే ఏదైనా వ్యాపారానికి మెజారిటీ యజమాని అయితే, అతను కంపెనీ సమాచార భద్రతా ప్రోగ్రామ్‌ను అమలు చేస్తుందని నిర్ధారించుకోవాలి. మరో మాటలో చెప్పాలంటే, ఆ బాధ్యత రాబోయే దశాబ్దం పాటు అతనిని అనుసరిస్తుంది. కాబట్టి డేటా సెక్యూరిటీ కేసుల్లో వ్యక్తిగత బాధ్యత గురించి ఆందోళన చెందాల్సిన అవసరం లేదని భావించిన ఎగ్జిక్యూటివ్‌లు మరియు వారికి ప్రాతినిధ్యం వహించే న్యాయవాదుల కోసం, రెల్లాస్‌కు వ్యతిరేకంగా వచ్చిన ఆర్డర్ ఆ భావనను నిరాకరిస్తుంది.

డ్రిజ్లీ మరియు రెల్లాస్‌పై FTC చర్య నుండి ఇతర కంపెనీలు ఏమి తీసుకోవచ్చు?

వ్యక్తిగత కార్పొరేట్ అధికారులు వారి వ్యక్తిగత సామర్థ్యాలలో బాధ్యత వహించవచ్చు. డేటా భద్రతా కేసులతో సహా వినియోగదారు రక్షణ చర్యలలో బాధ్యత నుండి అధికారులను వ్యాపారాన్ని చేర్చడం వలన రక్షింపబడుతుందని భావించే పొరపాటు చేయవద్దు. ఇది వాస్తవం-ఆధారిత విశ్లేషణ, కానీ తగిన సందర్భాలలో, FTC కార్పొరేషన్‌పై దావా వేయవచ్చు మరియు కార్పొరేట్ అధికారులు. మరియు ఆర్డర్‌లో ఉన్న వ్యక్తికి కొన్ని ఉన్నత-స్థాయి బాధ్యతలు ఉంటే, అతను లేదా ఆమె భవిష్యత్తులో ఎక్కడ పనిచేసినా సమ్మతి బాధ్యతలు అనుసరించవచ్చు. రెల్లాస్‌పై కేసు అనేది డేటా సెక్యూరిటీ కేసులో వ్యక్తిగత బాధ్యతను ఆరోపిస్తున్న తాజా FTC చర్య కావచ్చు, కానీ ఇది చివరిది కాకపోవచ్చు. కార్పొరేట్ ఎగ్జిక్యూటివ్‌లకు సందేశం ఏమిటంటే డేటా భద్రత బక్ మీతో ఆగిపోతుంది.

వినియోగదారు సమాచారాన్ని నిర్వహించాల్సిన అవసరం మీకు లేనప్పుడు, దానిని సురక్షితంగా పారవేయండి. వినియోగదారు డేటాను “కేవలం ఎందుకంటే” పట్టుకోవడం చెడ్డ వ్యాపార అభ్యాసం. మేము ఇంతకు ముందే చెప్పాము, కానీ అది పునరావృతమవుతుంది. మీకు అవసరమైన వాటిని మాత్రమే సేకరించండి, అది మీ ఆధీనంలో ఉన్నప్పుడు సురక్షితంగా ఉంచండి మరియు ఆ వ్యాపార సమర్థన ముగిసినప్పుడు దాన్ని సురక్షితంగా పారవేయండి. ప్రతిపాదిత డ్రిజ్లీ ఆర్డర్‌లోని కొత్త డేటా నిలుపుదల పరిమితి నిబంధన ఇంటిని సూచించేలా చేస్తుంది మరియు డేటా హౌస్‌క్లీనింగ్‌ను పరిగణించేలా ఇతర వ్యాపారాలను ప్రేరేపిస్తుంది.

మునుపటి భద్రతా ఉల్లంఘనల పాఠాలను నేర్చుకోండి. 2018 ఎపిసోడ్‌కు ప్రతిస్పందనగా డ్రిజ్లీ తన పద్ధతులను మార్చుకుని ఉంటే, 2020 ఉల్లంఘన జరిగి ఉండకపోవచ్చు. ఇంకా, FTC బాగా ప్రచారం చేయబడింది Uberపై 2018 చర్య GitHub-సంబంధిత ఉల్లంఘన నుండి కూడా ఉత్పన్నమైతే డ్రిజ్లీ మరియు ఇతర కంపెనీలు సమ్మతి తనిఖీకి గడువు మించిపోయాయని అలారం వినిపించి ఉండాలి. మీ వ్యాపారం ఏదైనా సంఘటనను ఎదుర్కొంటే – లేదా మీరు మరొక కంపెనీలో జరిగిన సంఘటన గురించి విన్నప్పుడు – మీ కంపెనీ చేయవలసిన మార్పులను పరిగణనలోకి తీసుకోవడానికి మీ సెక్యూరిటీ “ఎ టీమ్” యొక్క సమావేశాన్ని ఏర్పాటు చేయండి.

మేము సబ్జెక్ట్‌లో ఉన్నప్పుడు, సెక్యూరిటీ “ఎ టీమ్”ని కలిగి ఉండండి. సీఈఓ రెల్లాస్ ఫైనాన్స్, లీగల్, మార్కెటింగ్, రిటైల్, హ్యూమన్ రిసోర్సెస్, ప్రొడక్ట్ మరియు అనలిటిక్స్ కోసం సీనియర్ ఎగ్జిక్యూటివ్‌లను నియమించుకున్నారని, అయితే వినియోగదారుల వ్యక్తిగత సమాచార భద్రతకు బాధ్యత వహించే సీనియర్ ఎగ్జిక్యూటివ్‌ను నియమించడంలో విఫలమయ్యారని ఫిర్యాదు ఆరోపించింది. ఏదైనా కార్పొరేట్ డేటా సెక్యూరిటీ ప్రోగ్రామ్‌లో కీలకమైన అంశం అధికారంలో ఉన్న ఉన్నత స్థాయి వ్యక్తి.

పాస్‌వర్డ్‌లను మళ్లీ ఉపయోగించడం వల్ల కలిగే ప్రమాదాల గురించి మీ సిబ్బందికి శిక్షణ ఇవ్వండి. గాజు మరియు డబ్బాలకు రీసైక్లింగ్ చాలా బాగుంది, అయితే FTC ఫిర్యాదు ప్రకారం, పాస్‌వర్డ్‌లను రీసైక్లింగ్ చేయడం వల్ల కలిగే పరిణామాలు విపత్తుగా ఉంటాయి. హ్యాకర్లు లాంగ్ గేమ్ ఆడుతున్నారు. ఒక కంపెనీ నుండి దొంగిలించబడిన కనీసం కొన్ని పాస్‌వర్డ్‌లను ఇతర సందర్భాల్లో వ్యక్తులు మళ్లీ ఉపయోగిస్తారని వారికి తెలుసు. అత్యంత ప్రభావవంతమైన శిక్షణ కేవలం “చేయకూడనిది” మాత్రమే కాదు. యొక్క టు-ది-పాయింట్ వివరణ ఇవ్వడం ఎందుకు పాస్‌వర్డ్ పునర్వినియోగం వంటి పద్ధతులు హానికరమైనవి మీ వర్క్‌ఫోర్స్‌లో మరింత శ్రద్ధను ప్రోత్సహిస్తాయి.

Source link

RELATED ARTICLESMORE FROM AUTHOR