Uber pagou hackers para encobrir roubo de dados de 57 milhões de usuários

há 6 anos e 5 meses • Atualizado há 1 semana

Parecia que a fase de escândalos envolvendo o Uber estava passando, mas eis que mais um veio à tona: a companhia admitiu que seus sistemas foram atacados em outubro de 2016 e que, na ação, dados de mais de 57 milhões de usuários e motoristas foram capturados.

A invasão foi revelada por Dara Khosrowshahi, atual CEO do Uber. Por que só agora? No comunicado oficial, o executivo diz ter se feito a mesma pergunta, razão pela pediu uma investigação minuciosa e tomou providências assim que descobriu o problema.

Khosrowshahi assumiu o cargo de CEO no final de agosto. É natural, portanto, que ele tenha se inteirado do assunto tardiamente. O ataque ocorreu quando Travis Kalanick era responsável pelo comando da empresa. De acordo com a Bloomberg, o ex-CEO soube do incidente um mês depois da sua ocorrência, época em que o Uber lidava com ações judiciais justamente sobre segurança de dados e violação de privacidade.

Na sequência, o Uber trabalhou para evitar que o ataque virasse notícia. O então chefe de segurança Joe Sullivan e outro executivo não identificado teriam repassado aos invasores US$ 100 mil em troca de sigilo e eliminação dos dados capturados.

Não é pouca coisa. Informações como nomes, emails e números de telefone de mais de 50 milhões de usuários foram vazados. Dados de 7 milhões de motoristas também foram capturados, 600 mil dos quais atuam nos Estados Unidos. Dados mais críticos, como números de cartões de crédito e de seguro social não teriam sido acessados.

Os detalhes sobre o ataque são escassos, mas sabe-se que dois hackers tiveram acesso a uma conta no GitHub utilizada por desenvolvedores do Uber e mais tarde usaram credenciais obtidas ali para entrar em um servidor da empresa na Amazon Web Services. Dali que as informações sigilosas foram capturadas e, depois, usadas como chantagem: se o Uber não pagasse, os dados seriam divulgados.

Parece razoável pagar o “resgate”, dada a gravidade do incidente. No entanto, várias leis dos Estados Unidos obrigam empresas que sofreram ataques a alertar usuários afetados e autoridades. É o que Khosrowshahi está fazendo agora. Tudo indica que o incidente só foi descoberto por conta das auditorias internas que o executivo promove desde que virou CEO para colocar o Uber nos eixos.

Por conta da demora em comunicar o ataque, é possível que a companhia sofra sanções das autoridades norte-americanas, assim como enfrente processos judiciais. De qualquer forma, o Uber anunciou medidas para amenizar as consequências, com destaque para a demissão dos dois executivos que teriam acobertado a invasão.

Outras medidas incluem orientações para motoristas que tiveram números de licença acessados, monitoramento e reforço da proteção contra roubo de identidade e a contratação de Matt Olsen, ex-conselheiro de segurança da NSA e diretor do Centro Nacional Antiterrorismo dos Estados Unidos, que deverá guiar a restruturação das equipes e processos de segurança do Uber.

De acordo com a empresa, não há evidência de uso indevido de dados de usuários, mas todas as contas atingidas estão sendo monitoradas. Também não há informações sobre contas afetadas no Brasil.

Kalanick foi procurado, mas não comentou o assunto.