Uber ocultou violação de dados de 57 milhões de pessoas

vazamento de dados
Uber escondeu incidente por mais de um ano e ainda pagou criminosos para destruírem os dados.

A Uber é conhecida por enfrentar problemas judiciais em praticamente todos os países onde atua. Agora, terá de enfrentar autoridades de proteção de dados em diversas jurisdições ao redor do mundo. As leis de muitos países exigem que as empresas informem os indivíduos caso suas informações pessoais sejam comprometidas. Sem dúvida, surgirão muitas perguntas sobre por que eles não foram informados a respeito da violação somadas a um punhado de ações judiciais.1

A agência de notícias Bloomberg foi a primeira a denunciar que os invasores tiveram acesso aos dados pessoais de 57 milhões de clientes e motoristas da Uber, uma violação maciça que foi ocultada por mais de um ano. A violação ocorreu em outubro de 2016 e incluiu nomes, endereços de e-mail e números de telefone. Em vez de terem informado o vazamento às partes envolvidas, a Uber pagou US$ 100 mil para os “hackers” destruir os dados e manter o incidente em segredo.2

Segundo a imprensa, os atacantes tiveram acesso a informações particulares armazenadas no GitHub, um serviço que permite que engenheiros colaborem em códigos de software e,  em seguida, usaram as credenciais de login que obtiveram para acessar os dados armazenados em uma conta do Amazon Web Services, conseguindo baixar dados de motoristas e passageiros. Posteriormente, os criminosos enviaram um e-mail à Uber pedindo dinheiro. Isto está com cara de um esquema de spear phishing, realizado por engenheiros sociais ou, talvez, alguns desenvolvedores foram descuidados em relação às suas credenciais de acesso.

A Uber diz que “não viu evidências de fraude ou uso indevido vinculados ao incidente”. Talvez isso seja verdadeiro, mas há inúmeras maneiras pelas quais os dados poderiam ser usados pelos criminosos sem que a Uber desconfiasse.

Cuidados
Cuidado com os e-mails de phishing relacionados a este incidente, por exemplo, aqueles que dizem que a sua “conta do Uber foi comprometida”. Lembre-se: Nunca clique em um link de um e-mail. Copie e cole a URL na barra de endereços do seu navegador.

Se você precisar fornecer qualquer tipo de informação, entre em contato com a Uber diretamente pelo aplicativo e pergunte sobre o tipo de informação que precisam.

Por fim, nenhuma empresa está imune a um incidente de violação de dados. Evidentemente, os consumidores não gostam, mas “perdoam”. O problema é quando descobrem que a verdade foi escondida deles.

Download grátis Kaspersky Anti-Ransomware Tool for Business

Referências

  1.  Uber faces slew of investigations in wake of ‘outrageous’ data hack cover-up: https://www.theguardian.com/technology/2017/nov/22/uber-scrutiny-data-breach-hacking
  2. Uber Paid Hackers to Delete Stolen Data on 57 Million People: https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

RiCoBa

Consultor em segurança da informação com 13 anos de experiência. Bacharel em Filosofia e cursando Direito, visando especialização em Direito Informático. Quando consigo alocar tempo, estudo para tirar a certificação CISSP (um dia faço a prova).

Artigos relacionados