FTC berechnet zwei Firmen mit undichten Kundendaten in P-to-P-Netzwerken

In einem ersten für die US Federal Trade Commission hat die Agentur Anklage gegen zwei Unternehmen erhoben, die angeblich persönliche Daten von Verbrauchern erlauben durchgesickert P-to-P (Peer-to-Peer) Software in ihren Netzwerken installiert.

In Beschwerden veröffentlicht am Donnerstag, die FTC behauptet, dass EPN, ein Inkassounternehmen Provo, Utah, Geschäfte als Checknet und Franklin Toyota / Scion, ein Autohändler in Statesboro, Georgia, hat die sensiblen persönlichen Daten tausender Verbraucher offengelegt, indem es P-to-P Filesharing-Software auf ihren Computersystemen installiert hat.

Vorgeschlagene Abrechnungen mit der FTC-Bar Unternehmen, die ihre Privatsphäre falsch darstellen a nden Sicherheitsmaßnahmen und fordern die Unternehmen auf, umfassende Informationssicherheitsprogramme einzurichten, sagte die FTC in einer Pressemitteilung.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Checknet, zu dessen Kunden auch das Gesundheitswesen gehört Englisch: www.germnews.de/archive/dn/1996/02/15.html Die Anbieter, die kommerziellen Kreditorganisationen und die Einzelhändler haben es versaeumt, angemessene Sicherheitsmassnahmen fuer persoenliche Informationen auf ihren Computern und Netzwerken durchzusetzen. Der Chief Operating Officer des Unternehmens installierte P-to-P-Software auf dem System des Unternehmens, sagte die Agentur.

Bevor das Unternehmen die P-to-P-Software im April 2008 entdeckte und deaktivierte, teilte die P-to-P-Software sensibel Informationen, einschließlich Sozialversicherungsnummern, Krankenversicherungsnummern und medizinische Diagnosecodes, von 3.800 Krankenhauspatienten mit anderen Nutzern der P-to-P-Software, sagte die FTC in ihrer Beschwerde.

Das Unternehmen hatte keine angemessene Informationssicherheit Plan, behauptete die FTC. Checknet habe auch keine Risiken für die gespeicherten Verbraucherinformationen bewertet, Mitarbeiter nicht angemessen geschult und keine vernünftigen Maßnahmen ergriffen, um die Einhaltung der Sicherheitsrichtlinien durchzusetzen, sagte die Agentur.

Das Versäumnis, ein angemessenes Cybersicherheitsprogramm aufrechtzuerhalten, sei ungerecht Geschäft Praxis, die US-Gesetz verletzt, sagte die Agentur.

Checknet ist "eifrig", alle FTC Richtlinien in seiner Regelung mit der Agentur zu folgen, das gesagte Unternehmen in einer Aussage. Die Firma "habe nie beabsichtigt, Schaden anzurichten", hieß es. Es nannte das Problem einen "einmaligen, isolierten Vorfall", der keinen Identitätsdiebstahl oder Betrug verursachte, und sagte, dass es seine Sicherheit erheblich verbessert habe.

"Dies war ein unglücklicher Vorfall, der sofort korrigiert wurde", Jessica Devenish, CEO von Checknet, sagte in der Erklärung. "Wir haben nie aus Arroganz oder Vernachlässigung operiert und wir werden jetzt weiterhin mit unseren Kunden und deren Konsumenten zusammenarbeiten."

Der Vorfall hat zu einer "breiten Selbstbeobachtung" in der Firma geführt, fügte sie hinzu. "Dieses Ereignis hat unsere Entschlossenheit verstärkt, in die Winkel unserer Operation zu schauen, Schwachstellen zu finden und Korrekturen vorzunehmen", sagte sie. "Während die FTC uns unter ein Mikroskop gestellt hat, ist es nichts im Vergleich zu dem, was wir selbst bereits getan haben."

In einem anderen Fall beauftragte die FTC den Autohändler Franklins Budget Autoverkäufe, auch bekannt als Franklin Toyota / Scion , erlaubt auch P-to-P-Software in seinem Netzwerk.

Franklins Datenschutzrichtlinie besagt, dass das Unternehmen "nicht öffentliche persönliche Informationen über Sie auf nur diejenigen Mitarbeiter beschränkt, die diese Informationen benötigen." Das Unternehmen sagte auch, dass es "physische, elektronische und verfahrenstechnische Garantien, die den Bundesvorschriften entsprechen, um nicht öffentliche persönliche Informationen zu schützen."

Die P-to-P-Software auf Franklins Netzwerk teilte die Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und Führerscheinnummern von 95.000 Kunden mit anderen P-zu-PP-zu-P-Nutzer, behauptete die FTC.

Franklin angeblich nicht verhindern und nicht autorisierten Zugriff auf persönliche Informationen in ihren Netzwerken zu finden, nicht ausreichend trainieren Mitarbeiter und unterlassen es, angemessene Maßnahmen zu ergreifen, um auf den unbefugten Zugriff auf personenbezogene Daten zu reagieren, behauptet die FTC.

Da Franklin Finanzdienstleistungen anbot, verletzten die angeblichen Sicherheitsmängel die US-amerikanische Gramm-Leach-Bliley (GLB) -Sicherheitsregel, die Finanzinstitute dazu verpflichtet, über angemessene Richtlinien und Verfahren zu verfügen, um die Sicherheit und Vertraulichkeit von Kundeninformationen zu gewährleisten.

Dies ist die erste Aktion der FTC gegen einen Autohändler wegen GLB-Verstößen.

Franklin muss nach einem Vergleich mit der FTC ein umfassendes Informationssicherheitsprogramm durchführen und jedes zweite Jahr für 20 Jahre unabhängige Datensicherheitsprüfungen durchführen.

A Vertreter von Franklin lehnte es ab, sich zu den FTC-Gebühren zu äußern.

Grant Gross deckt Technologie- und Telekommunikationspolitik in der US-Regierung für Der IDG News Service ab. Folgen Sie Grant auf Twitter bei GrantGross. Die E-Mail-Adresse von Grant ist [email protected].