La Federal Trade Commission souhaite limiter la quantité d’informations personnelles que Drizly peut collecter dans le cadre des mesures d’exécution qu’elle propose contre le marché et son PDG. Selon la FTC, le service de livraison d’alcool qu’Uber avait acheté en 2021 et son directeur général, James Cory Rellas, ont été alertés des problèmes de sécurité dès 2018. La commission a constaté qu’ils n’avaient pas protégé de manière adéquate les informations de leurs utilisateurs, qui a permis une violation de données en 2020 qui a exposé les données de 2,5 millions d’utilisateurs.
Sur la base de la plainte initiale de la FTC, un employé de Drizly a publié les identifiants de connexion de l’entreprise pour son compte cloud Amazon Web Services (AWS) sur GitHub en 2018. Drizly stocke les détails des utilisateurs, tels que leurs e-mails, adresses postales, numéros de téléphone et même leur adresse unique. l’identification de l’appareil, les informations de géolocalisation et toutes les autres données achetées auprès de tiers qui peuvent leur être liées sur AWS. Les pirates ont pu utiliser ces identifiants pour infiltrer les serveurs de Drizly et les utiliser pour exploiter la crypto-monnaie.
Alors que Drizly a repris le contrôle en modifiant ses informations de connexion, la FTC a déclaré qu’elle n’avait pas mis en œuvre de « garanties raisonnables » pour protéger ses utilisateurs et résoudre ses problèmes de sécurité, bien qu’elle ait publiquement affirmé qu’elle l’avait fait. En 2020, un pirate a pu accéder au compte d’un employé et accéder au GitHub de l’entreprise. Ils ont ensuite piraté la base de données de Drizly et volé les informations personnelles de 2,5 millions de clients, qui avaient depuis été proposées à la vente sur au moins deux sites Web différents sur le dark web.
La FTC affirme que ces événements ont été rendus possibles par les mauvaises pratiques de sécurité de Drizly, telles que le fait de ne pas obliger les employés à utiliser deux facteurs pour GitHub, où il stockait les informations de connexion. Drizly n’a pas non plus limité l’accès des travailleurs aux données personnelles des utilisateurs, ajoute la FTC, et n’avait aucun cadre supérieur supervisant ses pratiques de sécurité.
En vertu des ordonnances proposées par la FTC, Drizly devra détruire toutes les données personnelles qu’elle a précédemment collectées et qui ne sont pas nécessaires pour pouvoir fournir ses services. Il devra également s’abstenir de collecter des données inutiles à l’avenir et devra divulguer publiquement les informations qu’il demande aux utilisateurs sur son site Internet. En outre, il devra mettre en œuvre un programme de sécurité complet et nommer un cadre pour superviser ses opérations.
La commission a également émis des ordonnances qui s’appliquent personnellement à Rellas en raison du rôle qu’il a joué en présidant aux pratiques de sécurité laxistes de Drizly. Si Rellas décide de quitter le service de livraison d’alcool, il devra toujours mettre en œuvre un programme de sécurité de l’information dans les futures entreprises où il assumera le rôle de PDG, d’actionnaire majoritaire ou de cadre supérieur impliqué dans la sécurité. Comme Le Washington Post note, la FTC a rarement isolé des cadres dans des cas de violation de sécurité similaires dans le passé, ce qui indique une nouvelle approche dans la gestion des entreprises avec des mesures de sécurité inadéquates.
Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC, a déclaré dans un communiqué :
« Notre ordonnance proposée contre Drizly restreint non seulement ce que l’entreprise peut conserver et collecter à l’avenir, mais garantit également que le PDG fait face aux conséquences de la négligence de l’entreprise. Les PDG qui prennent des raccourcis en matière de sécurité devraient en prendre note. »
La FTC publiera bientôt ces ordonnances proposées, et elles seront ouvertes aux commentaires du public pendant 30 jours avant que la commission ne décide si elle les officialisera.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.