Uber escondeu por um ano ataque que roubou dados de 57 milhões de pessoas no mundo todo

• 0

A Uber escondeu por um ano um ciberataque que expôs dados pessoais de dezenas de milhões de clientes e motoristas em todo o mundo. As informações incluem nomes, endereços de e-mail e números de telefone de 57 milhões de pessoas, de acordo com um comunicado divulgado nesta terça-feira (21) pelo CEO da empresa, Dara Khosrowshahi.

Foram afetados 50 milhões de usuários e 7 milhões de motoristas. O episódio custou os empregos do chefe de segurança, Joe Sulllivan, e de seus assistentes, que encobriram o vazamento de dados por um ano.

No momento do incidente, a Uber estava negociando com agências reguladores dos EUA para a investigação de violações da privacidade. Os termos obrigavam a empresa a denunciar o ataque, mas em vez disso pagou US$ 100 mil aos hackers para excluir os dados roubados e abafar o caso. Uber disse acreditar que a informação nunca foi usada, mas recusou-se a divulgar as identidades dos atacantes. 

"Nada disso deveria ter acontecido, e não vou desculpar por isso", disse Dara Khosrowshahi, que assumiu o cargo de diretor executivo em setembro, em uma declaração por e-mail. "Estamos mudando a maneira como fazemos negócios". 

Os hackers se infiltraram com sucesso em inúmeras empresas nos últimos anos. A violação da Uber, embora grande, é inferior as feitas no Yahoo, MySpace, Target, Anthem e Equifax. O que é mais alarmante são as medidas extremas que Uber tomou para esconder o ataque. A violação é o último escândalo explosivo que Khosrowshahi herda de seu antecessor, Travis Kalanick. 

Kalanick, co-fundador da Uber e ex-CEO, soube do ataque em novembro de 2016, um mês depois de ter ocorrido, disse a empresa. A Uber acabou de resolver um processo com o procurador-geral de Nova York sobre medidas de segurança de dados e estava no processo de negociação com a Comissão Federal de Comércio sobre o tratamento dos dados do consumidor. Kalanick se recusou a comentar o ataque. 

Tirado pelo Uber do Facebook em 2015, Sullivan liderou a resposta ao ataque no ano passado. O conselho diretor da empresa encomendou uma investigação sobre as atividades da equipe de segurança de Sullivan. Este projeto, conduzido por uma firma de advocacia externa, descobriu o ataque e o encobrimento subsequente, disse a Uber. 

 Como foi o ataque

Dois hackers acessaram um site de codificação GitHub privado usado pelos engenheiros de software da Uber e, em seguida, usaram as credenciais de login que obtiveram para acessar os dados armazenados em uma conta do Amazon Web Services, que gerenciava tarefas de computação para a empresa. A partir daí, os hackers descobriram um arquivo de informações sobre motoristas e usuários. Mais tarde, eles enviaram por email Uber pedindo dinheiro, de acordo com a empresa. 

Um protocolo de leis estaduais e federais exige que as empresas alertem pessoas e agências governamentais quando ocorrem violações de dados sensíveis. Uber disse que era obrigado a denunciar a violação da informação da licença do motorista e não conseguiu fazê-lo. 

"No momento do incidente, tomamos medidas imediatas para garantir os dados e fechamos o acesso não autorizado aos indivíduos", disse Khosrowshahi. "Também implementamos medidas de segurança para restringir o acesso e fortalecer os controles em nossas contas de armazenamento baseadas na nuvem". 

 Histórico de problemas

Uber ganhou a reputação de violar os regulamentos em áreas onde operou desde a sua fundação em 2009. Os EUA abriram pelo menos cinco sondagens criminais em possíveis subornos, software ilícito, esquemas de preços questionáveis e roubo de propriedade intelectual de um competidor. A empresa com sede em San Francisco também enfrenta dezenas de processos civis. Londres e outros governos tomaram medidas para proibir o serviço, citando o que eles definem como comportamento imprudente de Uber. 

Em janeiro de 2016, o procurador-geral da Nova York multou Uber em US$ 20 mil por não ter divulgado prontamente uma brecha de dados anterior em 2014. Após o ciberataque do ano passado, a empresa estava negociando com a FTC (agência reguladora de defesa ao consumidor dos EUA) uma solução de privacidade, enquanto comprava os dados dos hackers. A empresa finalmente concordou com o acordo da FTC há três meses, sem admitir erros e antes de informar a agência sobre o ataque do ano passado.