FTC penaliza a Drizly y su CEO por Exponer Información de Millones de Usuarios. Le Contamos de Cuántos

La Comisión Federal de Comercio de los Estados Unidos (FTC por sus siglas en inglés) está tomando  medidas contra la empresa Drizly, y su director general (CEO por sus siglas en inglés), James Cory Rellas. La FTC penaliza a Drizly por fallas de seguridad que expusieron los datos de 2,5 millones de sus clientes*.

¿Qué Sucedió en este Caso por el que la FTC Penaliza a Drizly?

La empresa Drizly, con sede en Boston y filial de Uber, opera un mercado en línea con el que sus clientes mayores de edad pueden hacer pedidos a los minoristas para que les lleven a domicilio cerveza, vino y bebidas alcohólicas en general. La empresa almacena una amplia gama de información personal de los consumidores en su servicio de computación, que incluye su correo electrónico, su dirección, los números de teléfono, los identificadores únicos de dispositivos, la información de geolocalización y otros datos.

Según la denuncia, por la que FTC penaliza a Drizly, tanto la empresa como su director general Rellas fueron alertados hace un tiempo de que tenían problemas con los procedimientos de seguridad de acceso de los datos de los consumidores. De hecho, en 2018, un empleado de Drizly publicó información de inicio de sesión de la cuenta en la nube de la empresa de alojamiento de software GitHub, y como  resultado de esto hubo hackers que usaron los servidores de Drizly para minar criptomonedas. Esto continuó hasta que la empresa cambió la información de inicio de sesión de su cuenta. 

Sin embargo, ahora FTC penaliza a Drizly, pues en ese entonces no tomó medidas para resolver sus problemas de seguridad, aunque afirmó que lo había hecho. Dos años más tarde, un hacker violó la cuenta de un empleado, obtuvo acceso a la información de inicio de sesión de la GitHub corporativa de Drizly. Hackeó la base de datos de la empresa y luego robó la información de un número de clientes. Por esto la FTC penaliza a Drizly ahora,  pues no corrigió entonces las fallas de seguridad. 

Según Samuel Levine, Director de la Oficina de Protección del Consumidor de la FTC. "Nuestra propuesta de orden contra Drizly no solo restringe lo que la empresa puede retener y recopilar en el futuro, sino que también garantiza que el director general se enfrente a las consecuencias de la negligencia de la empresa.”

¿Qué Medidas No Tomó Drizly y por esto FTC penaliza a Drizly?

Hubo varias medidas* que Drizly no tomó, a pesar de haber sido ya advertida, y por esto FTC penaliza a Drizly. Estas fueron las siguientes:

• •    No exigió a los empleados autenticación de dos factores para acceder a los datos, sistema donde se piden dos (o más) pruebas para ingresar a un sistema.
• •    No limitó el acceso de sus empleados a los datos personales de los clientes,
• •    No elaboró políticas de seguridad adecuadas, ni entrenó a los empleados en esos procedimientos. 
• •    Almacenó información crítica de la base de datos en una plataforma que no era  segura, a pesar de que en esa plataforma ya habían ocurrido incidentes de seguridad.
• •    Descuidó el supervisar la red en busca de amenazas de seguridad: La FTC alegó que Drizly no puso a un alto ejecutivo a cargo de garantizar que la empresa mantuviera sus datos seguros, ni supervisó su red en busca de intentos no autorizados de acceder o eliminar datos personales.
• •    Drizly expuso a sus clientes a piratas informáticos y ladrones de identidad: poco después de la filtración de datos. Tras la filtración de datos, la información personal que Drizly tenía sobre sus clientes se estaba vendiendo en dos sitios diferentes de la “web oscura” donde los delincuentes venden los datos robados, para que otros delincuentes los usen para abrir líneas de crédito fraudulentas, tomar deudas a nombre de la otra persona y muchos otros fraudes más.

¿Qué se Está Exigiendo ahora que la FTC penaliza a Drizly?

La FTC está exigiendo que Drizly tome varias medidas*:

• •    Que destruya los datos innecesarios: Drizly debe destruir todos los datos personales que haya recogido y que no sean estrictamente necesarios para vender los  productos o servicios que ofrece. También debe documentar e informar a la FTC qué datos ha destruido.
• •    La orden por la que la FTC penaliza a Drizly, ordena a esta empresa restringir en el futuro la recopilación y retención de datos, y obliga a su director general a  poner en práctica requisitos específicos sobre la seguridad de los datos que obtienen.
• •    Las normas de la FTC exigen además que Drizly no solo se abstenga de recoger o almacenar información personal que no sea estrictamente necesaria, sino que debe detallar en su sitio web qué información tiene del cliente, y cuál es la razón por la cual la tiene.
• •    Implementar un programa de seguridad de la información, aplicando un programa de seguridad y estableciendo garantías de seguridad para protegerse de los incidentes de seguridad señalados en la denuncia, incluyendo entrenamiento en seguridad a sus empleados, la designación de un empleado de alto nivel para supervisar el programa de seguridad de la información, la aplicación de controles sobre quién puede acceder a los datos personales, y la exigencia de que los empleados utilicen la autenticación de varios factores para acceder a las bases de datos de los clientes.

¿Qué Se Espera para las Situaciones de Robo de Datos?

Los robos de datos por parte de delincuentes que quieren hacer mal uso de datos de las personas, es un crimen muy frecuente. Igual a como ocurrió en el caso de Drizly. De todas formas, si usted tiene una consulta sobre un posible caso de robo de sus datos* o de alguien cercano a usted, quiere hacer una averiguación o presentar un reclamo, pero no sabe cómo hacerlo contacte a nuestro equipo lo mas pronto posible. 

Contamos con el personal que habla su idioma disponible 24/7. Queremos escuchar su situación para poder brindarle las mejores opciones legales a su disposición. Recuerde que en Morgan & Morgan, luchamos por la gente! 

*Enlaces disponibles en inglés.