O Uber revelou recentemente que hackers invadiram seus sistemas em outubro de 2016 e roubaram dados de 57 milhões de usuários e motoristas. O então CEO Travis Kalanick decidiu pagar US$ 100 mil aos invasores para abafar o caso.
O Wall Street Journal descobriu que o novo CEO, Dara Khosrowshahi, já sabia dessa invasão duas semanas após assumir o cargo — e mais de dois meses antes de informá-la ao público.
Fontes dizem que Khosrowshahi imediatamente ordenou uma investigação, que ele queria completar antes de divulgar o caso. No entanto, o Uber informou esses detalhes há três semanas para a SoftBank, que planejava um investimento bilionário na empresa.
A investigação foi realizada pela Mandiant, após uma análise dos sistemas e várias entrevistas com funcionários. O Uber queria divulgar a invasão apenas quando pudesse determinar o número exato de contas que foram comprometidas.
Nos EUA, não existe uma lei federal que obrigue empresas a informar sobre vazamentos. Em vez disso, há uma série de leis estaduais, e a maioria delas permite que consumidores e agências reguladoras sejam avisados em até oito semanas.
Este ano, a Equifax — um dos três maiores serviços de proteção ao crédito nos EUA — descobriu que hackers roubaram dados de 143 milhões de americanos, mas só informou o público após cerca de 40 dias.
Ainda assim, o Uber terá que prestar mais esclarecimentos. Vários estados americanos, a FTC (Comissão Federal de Comércio) e pelo menos três agências governamentais na Europa abriram inquéritos sobre o vazamento. A empresa diz que está colaborando com as autoridades.
Segundo Khosrowshahi, o vazamento inclui nomes, endereços de e-mail e números de telefone dos usuários, e números da carteira de motorista de aproximadamente 600 mil parceiros. Dados financeiros, como números de cartão de crédito, não foram acessados; e não há evidências de que as informações pessoais foram usadas para cometer fraudes, como falsidade ideológica.
Para esconder o vazamento, o ex-CEO Kalanick pagou US$ 100 mil aos hackers dentro do programa de “bug bounty” do Uber. Ele soube do ataque em novembro de 2016 e autorizou o pagamento. Em junho deste ano, ele renunciou ao cargo. Os dois funcionários que negociaram com os hackers — incluindo o chefe de segurança (CSO) — foram demitidos.
Com informações: Wall Street Journal.