La compañía Uber ha llegado a un acuerdo “amistoso” con la Federal Trade Commision (FTC), en el que aceptará someterse a auditorías independientes de privacidad con regularidad. La orden de la FTC es que estas auditorías se extiendan hasta por 20 años.
La medida responde a las acusaciones de que la compañía no garantizó la protección de la privacidad de sus usuarios, afirmando falsamente que supervisaría de cerca el acceso a la información privada de forma continua.
La compañía estadounidense recopila y tiene posesión de información confidencial de sus usuarios, como por ejemplo: direcciones, nombres, fotos de perfil, registros de viaje por geolocalización, etc. De hecho, cuando las personas se unen a Uber, la compañía recopila datos como los números de seguridad social, licencia de conducir, números de cuenta bancaria, registros de automóviles, etc.
La historia detrás del caso entre la FTC y Uber data del año 2014, cuando la empresa fue denunciada por permitir que sus empleados accedieran de manera indebida a la información personal de los conductores. En ese momento, Uber respondió de manera enfática, afirmando que la política de la compañía era bastante estricta con respecto de este tema, y que la empresa prohibía a sus empleados acceder a estos datos.
Sin embargo, ¿Cómo logra Uber tomar posesión de este tipo de información? Pues bien, según la FTC, la empresa utilizó un famoso servicio de almacenamiento en la nube para guardar una gran cantidad de información, incluyendo copias de seguridad de sus bases de datos masivas. En este sentido, la compañía dijo que la información era almacenada de forma segura, con prácticas de seguridad “razonables”, como SSL, encriptación y firewalls.
A pesar de estas afirmaciones, la FTC logró determinar que desde agosto de 2015 hasta mayo de 2016, la compañía no realizó un correcto seguimiento de la protección de la privacidad de sus clientes, supervisando solo el acceso a la información de algunos grupos privilegiados, entre los que destacan altos ejecutivos Uber. Además, la FTC acusa a la empresa de dejar que sus ingenieros y técnicos utilizaran la clave de acceso al servicio de almacenamiento en la nube, dando privilegios sobre todos los datos allí almacenados.
En efecto, en mayo de 2014, un intruso utilizó la clave de acceso de un ingeniero de Uber y tuvo acceso a los datos de más de 10.000 conductores, entre los que destacan los números de cuenta bancaria.
El acuerdo alcanzado con la FTC prohíbe a Uber modificar sus términos de privacidad y seguridad, obligando a la empresa a someterse a auditorías independientes por parte de terceros, cada dos años durante los próximos 20 años. La orden también incluye que Uber presente informes de cumplimiento, iniciando el año próximo y bajo juramento de pena de perjurio.