Jovem americano foi responsável pelo vazamento de dados da Uber
Um jovem de 20 anos de idade, morador do estado americano da Flórida, foi o responsável pelo vazamento de dados de 57 milhões de usuários do Uber, entre motoristas e passageiros. Ele teria recebido ajuda de mais uma pessoa, ainda não identificada, para realizar um ataque aos sistemas da empresa em outubro de 2016, que resultou na obtenção das informações, em um ato que só foi revelado em novembro deste ano.
As informações são fruto de uma investigação ainda em andamento, na qual a empresa de transportes colaboradora com autoridades e também empresas especializadas em segurança para entender, exatamente, quem e como o vazamento aconteceu. Além disso, o inquérito quer analisar a entrega de US$ 100 mil aos criminosos, pela empresa, para que os dados não fossem revelados na internet.
As informações vazadas para a imprensa também indicam que o total foi pago pela Uber por meio de seu programa de caça a bugs, no qual ela convida especialistas em segurança a explorarem seus sistemas em busca de falhas de segurança, recebendo uma soma em dinheiro pela revelação dos problemas. O app teria sido alertado para a existência da brecha e a obtenção dos dados por um e-mail anônimo, enviado pelo próprio hacker.
Não se sabe, entretanto, quem autorizou o pagamento ou selecionou o valor, apesar de as fontes afirmarem que o ex-CEO, Travis Kalanick, estava ciente da vulnerabilidade, assim como seu círculo mais próximo de executivos. A decisão de manter o silêncio sobre tudo também teria vindo do alto escalão da empresa, na época.
Normalmente, os pagamentos enviados pelo programa de caça a bugs são de, no máximo, US$ 10 mil. O montante depende do fator crítico das falhas encontradas, mas a quantia dez vezes maior paga pela Uber ao hacker responsável pela localização da brecha é um indicativo de que não se tratava de uma mera recompensa, mas sim de um "resgate".
Ou não, já que as fontes se contradizem sobre isso, com algumas contando uma história digna de filmes de espionagem. A noção é que a Uber teria enviado o dinheiro, em 2016, justamente para obter a identidade do hacker por motivos processuais. Outra linha de raciocínio afirma que o criminoso teria submetido seu computador a uma análise forense, com a empresa de transportes desejando garantir que os dados roubados foram efetivamente deletados após o pagamento.
Ao descobrir mais detalhes sobre o responsável - um jovem, que mora com a mãe e a ajuda a pagar as contas da casa -, a Uber teria desistido de seguir com os trâmites legais por acreditar que o especialista não representava mais perigo. Aí, então, foi surpreendida pela revelação dos dados na rede, colocando mais de 50 milhões de usuários em risco, além de 60 mil motoristas somente nos Estados Unidos.
A HackerOne, responsável pelo programa de caça a bugs da Uber, se pronunciou afirmando que não pode discutir os detalhes de iniciativas individuais. A empresa de transportes também não comentou sobre o assunto e as novas revelações que surgiram na imprensa.
Como reflexo do vazamento, entretanto, o atual CEO da companhia, Dara Khosrowshahi, demitiu seu diretor de segurança, Joe Sullivan, bem como outro executivo de alto escalão do setor. Em declarações feitas em novembro, quando a brecha foi revelada, o presidente da Uber disse que não revelar as informações ao público foi um erro, e que, agora, pode levar, inclusive, a problemas regulatórios para a companhia, já que, além de suas investigações internas, ela é alvo de escrutínio também pelas autoridades.
Canaltech
