తప్పుదారి పట్టించే గోప్యత, భద్రతా వాగ్దానాలతో Uber తప్పు మలుపు తీసుకుందని FTC పేర్కొంది

Uber దాని రైడర్లు మరియు డ్రైవర్ల గురించి ఎంత సమాచారం కలిగి ఉంది? చాలా. FTC ఇప్పుడే ఒక పరిష్కారాన్ని ప్రకటించింది కొనసాగుతున్న ప్రాతిపదికన వినియోగదారుల వ్యక్తిగత సమాచారానికి అంతర్గత ప్రాప్యతను నిశితంగా పరిశీలిస్తుందని కంపెనీ తప్పుగా పేర్కొన్న ఆరోపణలను పరిష్కరించడం. వినియోగదారుల డేటాకు సహేతుకమైన భద్రతను అందిస్తామన్న తన వాగ్దానాన్ని నెరవేర్చడంలో Uber విఫలమైందని FTC ఆరోపించింది.

Uber దాని రైడర్‌ల గురించి సున్నితమైన సమాచారాన్ని సేకరిస్తుంది మరియు నిర్వహిస్తుంది – ఉదాహరణకు, పేర్లు, చిరునామాలు, ప్రొఫైల్ చిత్రాలు మరియు జియోలొకేషన్‌తో సహా వివరణాత్మక ట్రిప్ రికార్డ్‌లు. వ్యక్తులు Uber డ్రైవర్‌లుగా సైన్ అప్ చేసినప్పుడు, కంపెనీ చాలా డేటాను కూడా సేకరిస్తుంది – సోషల్ సెక్యూరిటీ నంబర్‌లు, డ్రైవింగ్ లైసెన్స్ నంబర్‌లు, బ్యాంక్ ఖాతా నంబర్‌లు, కార్ రిజిస్ట్రేషన్‌లు మరియు వంటివి.

FTC యొక్క వెనుక కథ ఫిర్యాదు కనీసం 2014కి వెళుతుంది. ఉబెర్ ఉద్యోగులు రైడర్‌ల వ్యక్తిగత సమాచారాన్ని సక్రమంగా యాక్సెస్ చేశారని ఆరోపిస్తూ కంపెనీ వార్తా నివేదికలకు సంబంధించిన విషయం. వినియోగదారులు ఎలా స్పందించారు? బాగా లేదు.

వివాదానికి ప్రతిస్పందించడానికి, Uber తన సైట్‌లో ఈ ప్రకటనను పోస్ట్ చేసింది:

రైడర్ లేదా డ్రైవర్ డేటాను యాక్సెస్ చేయకుండా ప్రతి స్థాయిలో ఉద్యోగులందరినీ నిషేధించే కఠినమైన విధానాన్ని Uber కలిగి ఉంది. పరిమితమైన చట్టబద్ధమైన వ్యాపార ప్రయోజనాల కోసం మాత్రమే ఈ విధానానికి మినహాయింపు. మా విధానం అన్ని ఉద్యోగులు మరియు కాంట్రాక్టర్‌లకు తెలియజేయబడింది. . . .

రైడర్ మరియు డ్రైవర్ ఖాతాలకు యాక్సెస్ డేటా సెక్యూరిటీ స్పెషలిస్ట్‌లచే నిశితంగా పర్యవేక్షించబడుతుందని మరియు ఆడిట్ చేయబడుతుందని కూడా పాలసీ స్పష్టంగా ఉంది మరియు పాలసీని ఉల్లంఘిస్తే రద్దు మరియు చట్టపరమైన చర్యలతో సహా క్రమశిక్షణా చర్య తీసుకోబడుతుంది.

Uber తన ఆధీనంలో ఉన్న కొన్ని సున్నితమైన సమాచారాన్ని ఎలా నిల్వ చేసింది? Uber దాని భారీ రైడర్ మరియు డ్రైవర్ డేటాబేస్‌ల బ్యాకప్‌లతో సహా పెద్ద మొత్తంలో నిర్వహించడానికి ప్రసిద్ధ మూడవ పక్ష క్లౌడ్ నిల్వ సేవను ఉపయోగించింది. గుప్తీకరణ, ఫైర్‌వాల్‌లు మరియు SSL (సెక్యూర్ సాకెట్ లేయర్‌లు) వంటి “ప్రామాణిక, పరిశ్రమ వ్యాప్త, వాణిజ్యపరంగా సహేతుకమైన భద్రతా పద్ధతులను ఉపయోగించి, వ్యక్తిగత సమాచారాన్ని “భద్రంగా నిల్వ ఉంచినట్లు” Uber పేర్కొంది. . . .”

వినియోగదారులు వ్యక్తిగత డేటాను అందించడానికి అయిష్టత వ్యక్తం చేస్తే, Uber “అదనపు అప్రమత్తంగా” ఉందని మరియు వారి సమాచారం “సురక్షితంగా నిల్వ చేయబడుతుంది మరియు మీరు అధికారం పొందిన ప్రయోజనాల కోసం మాత్రమే ఉపయోగించబడుతుంది” అని హామీ ఇవ్వడం ద్వారా కస్టమర్ సర్వీస్ ప్రతినిధులు వారి ఆందోళనలను నివృత్తి చేసుకున్నారు. వీటిలో ఏదీ రాజీ పడకుండా చూసుకోవడానికి మేము అత్యంత తాజా సాంకేతికత మరియు సేవలను ఉపయోగిస్తాము.

అదే Uber అన్నారుకానీ తెరవెనుక ఏం జరుగుతోంది? ప్రకారం ఫిర్యాదుడేటా సెక్యూరిటీ స్పెషలిస్ట్‌లు “కొనసాగుతున్న” పర్యవేక్షణ గురించి వాగ్దానం చేసినప్పటికీ, డిసెంబర్ 2014లో అమలు చేయబడిన Uber సిస్టమ్ Uber కార్మికులు యాక్సెస్ చేస్తున్న డేటాను సమర్థవంతంగా పర్యవేక్షించడానికి రూపొందించబడలేదు లేదా సిబ్బందిని కలిగి లేదు, కాబట్టి కంపెనీ దానిని వదిలివేసింది. ఆగస్ట్ 2015 నుండి మే 2016 వరకు, Uber వినియోగదారుల వ్యక్తిగత సమాచారాన్ని దుర్వినియోగం చేసే అవకాశం ఉన్న హెచ్చరికలను సకాలంలో అనుసరించలేదు. నిర్దిష్ట ఆరు నెలల వ్యవధిలో, Uber ఎంచుకున్న సమూహం యొక్క ఖాతా సమాచారానికి ప్రాప్యతను మాత్రమే పర్యవేక్షించింది. WHO? Uber ఎగ్జిక్యూటివ్‌లతో సహా నిర్దిష్ట ఉన్నత-ప్రొఫైల్ వినియోగదారులు.

క్లౌడ్ స్టోరేజ్ సర్వీస్‌లో వ్యక్తిగత సమాచారానికి సహేతుకమైన భద్రతను అందించడంలో విఫలమైన పద్ధతుల్లో ఉబెర్ నిమగ్నమైందని FTC ఆరోపించింది. మీరు చదవాలనుకుంటున్నారు ఫిర్యాదు వివరాల కోసం, అయితే FTC ప్రకారం, క్లౌడ్ స్టోరేజ్ సర్వీస్‌ను యాక్సెస్ చేసిన అన్ని ప్రోగ్రామ్‌లు మరియు ఇంజనీర్‌లు Uber అక్కడ నిల్వ చేసిన ప్రతిదానిపై పూర్తి అడ్మిన్ అధికారాలను అందించే ఒకే యాక్సెస్ కీని ఉపయోగించడానికి అనుమతించారు, ఉద్యోగుల జాబ్ ఫంక్షన్‌ల ఆధారంగా యాక్సెస్‌ని పరిమితం చేయడంలో విఫలమయ్యారు. యాక్సెస్ కోసం బహుళ-కారకాల ప్రమాణీకరణ అవసరం మరియు స్పష్టమైన, చదవగలిగే – ఇతర మాటలలో, ఎన్‌క్రిప్ట్ చేయని – టెక్స్ట్‌లో నిల్వ చేయబడిన సున్నితమైన సమాచారం. ఇంకా చెప్పాలంటే, సెప్టెంబర్ 2014 వరకు, Uber సహేతుకమైన భద్రతా శిక్షణ మరియు మార్గదర్శకాలను అమలు చేయడంలో విఫలమైంది మరియు వ్రాతపూర్వక సమాచార భద్రతా ప్రోగ్రామ్‌ను కూడా కలిగి లేదు. ఫిర్యాదు ప్రకారం, Uber తక్షణమే అందుబాటులో ఉన్న తక్కువ-ధర చర్యలను ఉపయోగించడం ద్వారా ఆ వైఫల్యాలను నిరోధించవచ్చు.

ఫలితం ఏమిటి? మే 2014లో, ఒక చొరబాటుదారుడు 100,000 Uber డ్రైవర్ల పేర్లు మరియు డ్రైవింగ్ లైసెన్స్ నంబర్‌లు, అలాగే కొన్ని బ్యాంక్ ఖాతా సమాచారం మరియు సామాజిక భద్రత నంబర్‌లను యాక్సెస్ చేయడానికి Uber ఇంజనీర్ పబ్లిక్‌గా కోడ్-షేరింగ్ సైట్‌లో పోస్ట్ చేసిన యాక్సెస్ కీని ఉపయోగించాడు. దాదాపు నాలుగు నెలల పాటు ఉబెర్ ఉల్లంఘనను కనుగొనలేదని FTC తెలిపింది.

ప్రతిపాదిత పరిష్కారం Uber తన గోప్యత మరియు భద్రతా పద్ధతులను తప్పుగా సూచించకుండా నిషేధిస్తుంది. Uber ఒక సమగ్ర గోప్యతా ప్రోగ్రామ్‌ను అమలులోకి తీసుకురావడం మరియు తదుపరి 20 సంవత్సరాలకు ప్రతి రెండు సంవత్సరాలకు ఒకసారి స్వతంత్ర థర్డ్-పార్టీ ఆడిట్‌లను పొందడం కూడా దీనికి అవసరం. మీరు సెప్టెంబర్ 15, 2017 వరకు సెటిల్‌మెంట్ గురించి పబ్లిక్ వ్యాఖ్యను ఫైల్ చేయవచ్చు.

మీరు లేదా మీ క్లయింట్‌లు వినియోగదారుల వ్యక్తిగత సమాచారాన్ని సేకరిస్తే, కంపెనీ గోప్యత మరియు భద్రతా క్లెయిమ్‌లను మోసపూరితంగా మార్చే Uber ఏమి చేసిందని (మరియు అలా చేయలేదు) FTC చెబుతున్న దాని గురించి వివరణాత్మక వివరణ కోసం మీరు అభ్యర్థనలను చదవాలనుకుంటున్నారు. కానీ నుండి ప్రధాన టేకావే ఫిర్యాదు ఆరోపణలు ఆశ్చర్యం లేని సూత్రానికి దిగజారాయి. వినియోగదారులు తమ స్వంత సిస్టమ్‌లలో లేదా మూడవ పక్ష క్లౌడ్ సేవల్లో వినియోగదారుల వ్యక్తిగత సమాచారాన్ని నిల్వ చేసినా వారి గోప్యత మరియు భద్రతా వాగ్దానాలకు అనుగుణంగా – ఇటుక మరియు మోర్టార్ Mom-and-Pops నుండి వినూత్న టెక్ దిగ్గజాల వరకు అన్ని వ్యాపారాలు ఆశించారు. మినహాయింపులు లేవు.

చదవండి భద్రతతో ప్రారంభించండి ఫండమెంటల్స్ కోసం మరియు మా కొనసాగుతున్న అనుసరించండి సెక్యూరిటీ బ్లాగ్ సిరీస్‌తో ఉండండి లోతైన డైవ్ కోసం.