Olay ve İhlale Müdahale, Güvenlik Operasyonları, Standartlar, Yönetmelikler ve Uyumluluk
Alkol Teslimat Hizmetinin Kapanış Zamanı, Zayıf Güvenlik Nedeniyle Fed’in Baskısının Ardından Geldi
Mathew J. Schwartz (euroinfosec) •
17 Ocak 2024
Uber’in 2021’de 1,1 milyar dolara satın aldığı alkol dağıtım hizmeti Drizly için son çağrı.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyumluluk Başucu Kitabı
ABD’nin 36 eyaletinde faaliyet gösteren Drizly, milyonlarca müşteriye sahip olduğunu söylüyor ve Mart ayı sonuna kadar sipariş kabul etmeye devam edecek.
Uber’in Kıdemli Başkan Yardımcısı Pierre Dimitri Gore-Coty, “İşletmeyi kapatmaya ve tüketicilerin gıdadan bakkaliye ve alkole kadar neredeyse her şeyi tek bir uygulama üzerinden almalarına yardımcı olma yönündeki temel Uber Eats stratejimize odaklanmaya karar verdik” dedi. bir açıklamada teslimat. Drizly’nin kapanmasının beklendiği haberi ilk olarak Salı günü Axios tarafından bildirildi.
E-ticaret ABD’deki toplam alkol satışlarının yalnızca küçük bir kısmını oluşturuyor. Pazar araştırmacısı Statista, pandemi öncesinde çevrimiçi bira, şarap ve alkollü içki satışlarının %1’den az olduğunu ve bu oranın 2022 yılına kadar neredeyse %3’e yükseldiğini bildirdi.
Drizly’nin geçmiş siber güvenlik yanlış adımlarının Uber tarafından kullanımdan kaldırılmasında herhangi bir rol oynayıp oynamadığı belirsiz.
Ekim 2022’de şirket, bilgisayar korsanlarının 2,5 milyon müşteriye ait bilgileri çaldığı Temmuz 2020 veri ihlali nedeniyle ABD Federal Ticaret Komisyonu ile anlaşmaya vardı.
Çalınan bilgiler arasında isimler, e-posta ve fiziksel adresler, şifreler, kısmi ödeme bilgileri ve pazarlama amacıyla toplanan veriler (gelir düzeyi, medeni durum ve ev değeri dahil) yer alıyordu. Verilerin veri ihlali forumlarından indirilebileceği ortaya çıktı.
Anlaşmanın bir parçası olarak Drizly, FTC ile 20 yıllık bir anlaşmaya vardı ve FTC’nin müşterilerden topladığı veri miktarını en aza indirmesini ve kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulama kullanarak çalışanların bu tür verilere erişimini kısıtlamasını şart koştu. Bu şartların artık Uber Eats için geçerli olup olmayacağı belirsizliğini koruyor.
Bir FTC sözcüsü Wine-Searcher’a “Hala durumu değerlendiriyoruz ve bu noktada yorum yapamayız” dedi.
Uber, yorum talebine hemen yanıt vermedi.
Uber’in Siber Güvenlik Yolculuğu
Araç çağırma uygulaması, çok sayıda veri ihlali ve siber güvenlikte atılan yanlış adımların ardından FTC tarafından yirmi yıllık gözetim döneminin altı yılını doldurdu. Bunlar arasında, federal jürinin eski Uber CSO Joe Sullivan’ı federal soruşturmacıları yanıltmaktan mahkum ettiği, on milyonlarca Uber hesap sahibini etkileyen 2016 veri ihlali de yer alıyor (bkz: Joe Sullivan Black Hat Avrupa’ya Söyledi: ‘Kendi Kaderinizi Seçin’).
Neredeyse hiçbir şirket veri ihlali nedeniyle iflas etmemiş veya itibarı üzerinde uzun vadeli ölçülebilir bir etki yaratmamıştır. Mt. Gox gibi, çalışmaya devam etmek için yeterli dijital paraya sahip olmadıkları için çöken, ihlal edilmiş kripto para birimi borsaları da dahil olmak üzere bir avuç istisna mevcuttur. Diğer bir istisna ise Yahoo’nun, önceki Yahoo veri ihlallerinin başlangıçta bildirilenden çok daha kötü olduğunu göstermesinin ardından, satın alan Verizon ile 2017’de mutabakata varılan satın alma fiyatından 350 milyon dolarlık kesinti yapmasıydı.
FTC, Drizly’nin O Zamanki CEO’sunu Seçti
Drizly ihlali, düzenleyici kurumun bir veri ihlali nedeniyle bir yöneticiyi seçtiği nadir bir olaydı; bu vakada, şirketin o zamanki CEO’su olan ve şirketi 2012’de kuranlardan James Cory Rellas vardı. Uzlaşma anlaşmasında önümüzdeki 20 yıl için bu durumun geçerli olması öngörülüyordu. , eğer başka bir şirkette üst düzey bir pozisyon alacak olsaydı, kuruluşun sağlam bir bilgi güvenliği programına sahip olduğunu sağlamaktan ve göstermekten de sorumlu olacaktı.
Ocak 2023’te, Drizly’ye Mayıs 2020’de baş işletme sorumlusu olarak katılan Cathy Lewenberg, Rellas’ın yerine CEO oldu. Global Drinks Intel’in haberine göre o sıralarda ana şirket Uber’de alkollü içecek bölümünün küresel başkanı oldu.
2020 plajı sırasında Drizly, müşterilere şifrelerinin karma yöntemi de dahil olmak üzere güvenli bir şekilde saklandığına dair güvence verdi. FTC, şirketin açıklığa kavuşturamadığı şeyin, Yazılım Mühendisliği Enstitüsü’nün 2008 yılında “kriptografik olarak bozuk ve daha fazla kullanıma uygun olmadığını” ilan ettiği uzun süredir kullanımdan kaldırılan MD5 algoritmasının kullanılmasını içerdiğini söyledi. Uzmanlar, gerçek şifreyi kurtarmak için MD5 karma şifresini tersine çevirmenin uzun süredir önemsiz olduğunu söylüyor.
Aslında pek çok güvenlik uzmanı, MD5’in hiçbir zaman şifreleri korumak için kullanılmaması gerektiğini söyledi; 2010’larda MD5 karma şifrelerini içeren, görünüşte aralıksız veri ihlalleri dalgası vardı – Ashley Madison, Rus web portalı Rambler, Last dahil. fm, Yahoo ve daha birçok kuruluşu öne çıkarmaya devam etti.
Şirket, FTC ile 2022 uzlaşma anlaşmasına vardıktan sonra, “Drizly olarak tüketici gizliliğini ve güvenliğini çok ciddiye alıyoruz ve bu 2020 etkinliğini geride bırakmaktan mutluluk duyuyoruz.” dedi.