MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
La plataforma de entrega de alcohol Drizly ha estado bajo el radar de la Comisión Federal de Comercio (FTC) por no proteger los datos de los usuarios. Uber adquirió la plataforma en 2021.
Según la FTC anuncio, se espera que Drizly destruya los datos innecesarios y limite la recopilación y el almacenamiento de datos en el futuro. Además, se espera que su director ejecutivo, James Cory Rellas, cumpla con los requisitos específicos de seguridad de datos. La FTC dice que la plataforma “no ha tomado medidas para proteger los datos de los consumidores de los piratas informáticos” y que los datos de 2,5 millones de clientes han sido expuestos.
Según los informes, Drizly tiene un historial muy malo de protección de datos de usuario. En 2018, uno de sus empleados publicó las credenciales de inicio de sesión de Amazon Web Services (AWS) de la empresa en GitHub. Esto permitió a los piratas informáticos extraer criptomonedas a través de los servidores de Drizly.
“Nuestra orden propuesta contra Drizly no solo limita lo que la empresa puede retener y cobrar en el futuro, sino que también garantiza que el director ejecutivo enfrente las consecuencias de la negligencia de la empresa”, señaló Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.
La FTC ordena a Drizly que refuerce su seguridad y elimine datos innecesarios
La plataforma con sede en Boston recopila una gran cantidad de datos de clientes, incluidos correos electrónicos, direcciones postales, números de teléfono, identificadores únicos de dispositivos, información de ubicación geográfica y datos comprados a terceros. Todos los datos se almacenan en los servidores AWS de la empresa.
La FTC ahora culpa a Drizly por cuatro problemas. En primer lugar, no implementó medidas de seguridad básicas como obligar a los empleados a utilizar la autenticación de dos factores para GitHub o restringir el acceso de los empleados a los datos personales. La empresa también almacenó información crítica de la base de datos en una plataforma no segura y se olvidó de monitorear la red en busca de amenazas a la seguridad. Finalmente, expuso a los clientes a piratas informáticos y ladrones de identidad, y esos datos se pusieron a la venta en dos sitios diferentes de acceso público en la web oscura.
De acuerdo con el fallo de la FTC, Drizly ahora debe eliminar todos los datos de los clientes que no necesita conservar y también debe notificar a la Comisión sobre los datos destruidos. Lo siguiente que debe hacer Drizly es limitar la cantidad de datos que recopila de los clientes y debe dejar claro en su sitio web qué tipo de datos recopila y por qué. Además, la empresa debe implementar un programa de seguridad de la información para capacitar a los empleados sobre las medidas de seguridad.
