2016年10月,黑客通过软件供应商DealerBuilt提供的经销商管理系统中的漏洞访问了130个商店中超过1,250万经销商的客户的个人信息。

在10天的时间里,敏感的客户信息(社会安全,驾驶执照和信用卡号,地址和出生日期)从与五个经销商客户相关的DealerBuilt目录中抽出。总共下载了9.75 GB的数据,其中包含69,283个消费者的个人信息。

经销商雇员数据也可能被获取,包括工资单和银行帐户信息。

该机构在一份声明中说,上周,爱荷华州梅森市的DealerBuilt与联邦贸易委员会达成和解,理由是据称未能正确加密敏感数据以及进行必要的漏洞和渗透测试。

根据法律专家的说法,该解决方案为根据FTC的《保障规则》将服务提供商视为金融机构树立了先例,该规则要求公司采取措施保护敏感的数字信息。但是,如果发生违规,它不会将风险从汽车经销商转移到那些服务提供商。专家说,相反,和解将责任扩大到多方。

哈德森·库克(Hudson Cook)的合伙人梅根·穆塞尔曼(Meghan Musselman)表示,这意味着向前迈进“服务提供商应承担直接责任”。“这似乎是一场巨变。”

穆塞尔曼说,FTC之前没有跟过DMS公司。

由经销商检测

该漏洞是由在互联网上找到客户信息的经销商发现的。据称,该系统的致命弱点是于2015年4月在公司网络上安装了一种存储设备。美国联邦贸易委员会说,该设备“没有确保已被安全配置,因此连接不安全长达18个月。”

这是黑客获得访问权限的地方。

防止违规

为了防止数据泄露,经销商应确保其软件供应商遵循以下规则:

对存储的数据和在其他软件提供商之间传输的数据进行加密建立访问控制或身份验证保护(例如密码)具有书面信息安全策略要求使用该软件的所有员工或承包商进行安全培训定期使用漏洞和渗透测试评估系统安全风险

资源:联邦贸易委员会

根据FTC的博客文章,“直到记者告诉DealerBuilt有关安全漏洞的消息后,该公司才意识到其存储设备上的开放端口。”

DealerBuilt首席执行官Michael Trasatti上周在一份新闻中向《汽车新闻》表示,该公司在得知违规行为后立即开始与其经销商合作伙伴合作。

Trasatti说:“我们非常重视保护客户数据的安全。”“我们致力于不断提高我们的安全性。”

佛罗里达州坦帕市的经销商咨询公司Paul Gillrie Institute的负责人约翰·达门托(John Darmento)表示,特拉萨蒂致电所有经销商客户,告诉他们发生了什么,更新了系统的保护措施,并购买了经销商保险以保护他们免于承担责任。

“这确实令人印象深刻。如果他们与客户有问题,则不必担心。它们被掩盖了。”达门托告诉《汽车新闻》。“那正是处理它的方式。其他DMS公司仍然会指责。”

违反后果

密苏里州堪萨斯城的加里·克罗斯利·福特汽车经销商负责人托德·克罗斯利说,DealerBuilt确保没有任何客户受到影响。他的商店仍将DealerBuilt用于其DMS。

“我们谁都不喜欢我们这个行业的[交易管理系统]。我搬到这些家伙,因为他们是万恶之源。但他们“做得很好,”克罗斯利说。“(违反)事件发生后,我再也没有一家公司从我或他们的身边如此努力地打击过安全性。我现在真的很安全。”

克罗斯利说,控制客户数据的去向,而不必为访问数据而付费,是经销商保持竞争力和合规性的方式。

“这是一个非常简单的问题。我们拥有数据,”他说。“数据是由客户提供给我们的,保护数据是我们的工作。”

另一位不愿透露姓名的经销商告诉《汽车新闻》,该违规事件发生后DealerBuilt伸出手,该事件未影响到该经销商。

但是,据FTC称,由于违反协议,一些经销商承担了额外的费用。FTC在6月12日的投诉中说:“企业花费了许多时间来处理违规响应通信,确定受影响的消费者并响应消费者的投诉。一些经销店聘请了法律顾问来应对违规行为。”

根据FTC的说法,违规的总成本不可估量,因为这种违规行为可能导致欺诈活动已经发生多年了。该委员会说,对小企业和消费者的伤害可能包括“欺诈,身份盗用,金钱损失以及花费在解决问题上的时间”。目前尚不清楚在这种情况下是否发生了任何此类伤害。

结算条款

DealerBuilt必须按照《保障规则》执行措施,并且在设计和实施安全程序之前,禁止DealerBuilt以任何身份处理消费者数据。该和解还要求公司每两年获得对其安全计划的第三方评估。

美国联邦贸易委员会(FTC)无权对初次违规提出罚款,但如果该公司违反和解协议,则委员会可能会就每次违规行为最高追究$ 42,350的民事罚款。

FTC在与DealerBuilt的拟议同意令中称,该公司收集的数据以明文形式存储和传输,这违反了Gramm-Leach-Bliley法案,该法案要求金融机构确保敏感客户信息的安全性和机密性。

FTC还声称DealerBuilt存储的数据没有访问控制或身份验证保护,这是该规则所必需的。

FTC主席乔·西蒙斯(Joe Simons)在报告中说:“与DealerBuilt达成的和解方案提出了更具体的安全要求,并要求公司高管对订单合规性承担更多责任,同时还要加强第三方评估员的责任制,并向FTC提供其他监督工具。”上周的声明。

除了被黑客入侵的外部存储设备外,FTC还概述了DealerBuilt据称未能保护消费者信息的其他领域。

此外,FTC称DealerBuilt从未进行过漏洞或渗透测试;起草,实施或维护书面安全政策;或为员工提供培训。

这不是DealerBuilt第一次弥补2016年的违约。去年,该公司与新泽西州司法部长办公室达成和解,同意以80,784美元和解。根据2018年5月21日提交的同意令,该办公室表示至少有4家新泽西州的经销商受到违规行为的影响,至少有2471名新泽西州居民的信息得以访问。

DealerBuilt根据《同意书》于2017年1月根据《新泽西州身份盗用预防法》向受影响的客户发送了信函。目前尚不清楚其他州的消费者是否收到有关违规的通知。

经销商责任

根据哈德逊·库克(Hudson Cook)律师穆塞尔曼(Musselman)的说法,与FTC达成和解并不意味着涉及违规行为的经销商必须逃脱责任。

“从历史上看,如果服务提供商存在违约行为,则底层金融机构(即交易商)将承担责任,” Musselman说。从理论上讲,他们也可以追随经销商。

Musselman还令她感到惊讶的是,经销商在违反协议后有资格获得数据保护保险。

穆塞尔曼说:“关于数据泄露的想法不是不是[它发生],而是什么时候。”“我知道一些企业出去购买[保险],但我还没有听说过这是对违规行为的回应。”

数据安全顾问克里斯·阿普加(Chris Apgar)通常是医疗保健领域的专家,他说,他已经看到很多情况,联邦监管机构会追究委托存储敏感数据的供应商。在这种情况下,它将是DealerBuilt。

他谈到供应商的客户时说:“但这并不意味着您不会被起诉。”

实际上,他说,他已经看到许多案例,其中供应商及其客户因数据泄露而被起诉,尽管大多数最终都在庭外和解。Apgar强调,与供应商一起存储数据的任何公司都应进行尽职调查并维护风险管理计划。

他说:“有人可能会雇用供应商,对[数据安全性]进行粗略的检查,然后再也不会询问。”经销商“需要每年检查一次”。

州法律

长期以来,DMS提供者和经销商之间有关控制和保护客户数据的问题一直是业界关注的话题和诉讼主题。

全国汽车经销商协会通信副总裁Jared Allen在一封电子邮件声明中说,经销商严重依赖其技术供应商来充分保护他们获取和存储的敏感数据。

艾伦写道:“我们已经意识到了该供应商的问题,并且敏锐地意识到了经销商面临的巨大数据安全挑战,我们多年来一直在认真地解决这些挑战。”

最近,交易商试图通过转向州议会来获得对数据的更多控制。亚利桑那州和蒙大拿州的法律已经通过,并已于今年春天签署,该法律允许经销商与他们选择的任何第三方共享其DMS数据,同时也禁止DMS公司收取费用。

至少在另外两个州(包括俄勒冈州和北卡罗来纳州)也引入了类似的立法。

北卡罗来纳州汽车经销商协会会长罗伯特·格拉泽(Robert Glaser)表示,该州的拟议立法将有助于使经销商免于承担责任。

根据Gramm-Leach-Bliley法案,Glaser说:“归结为一旦发生泄露,由谁负责,而交易者从根本上负责保护该数据。”“经销商从根本上相信,如果这些数据存在于他们的系统中,那么他们就负有保护数据的根本责任。”

涉及DealerBuilt违规的经销商是一个潜在的例子。Mosaic Compliance Services总裁吉姆·甘瑟(Jim Ganther)表示,不满的客户或监管机构仍可能会与那些客户联系,因为他们没有选择遵守《保障措施规则》的供应商。

他补充说:“我对经销商的建议:律师起来,要积极主动,让您的支票簿保持温暖。”

David Muller为该报告做出了贡献。