Uber pagou supostamente 100 mil dólares a hackers para manter em segredo uma violação de dados em 2016

Uber confirmou que os hackers violaram parte de sua rede em outubro de 2016 e foram excluídos com dados pessoais para 50 milhões de usuários e 7 milhões de drivers.

Em declarações oficiais – para pilotos e motoristas – emitido hoje, Uber disse que os hackers fizeram com nomes, endereços de e-mail e números de telefones celulares tanto para motoristas como para clientes. Além disso, os hackers também baixaram números de licença de motorista de cerca de 600 mil drivers dos EUA.

Uber disse que, com base em evidências atuais, os hackers não baixaram o histórico de localização, números de cartão de crédito, números de conta bancária, números da Segurança Social ou datas de nascimento.

Uber pagou supostamente 100 mil dólares a hackers para manter em segredo uma violação de dados em 2016

O incidente ocorreu em outubro de 2016, mas a empresa só descobriu um mês depois, em novembro de 2016.

Dois hackers estão alegadamente por trás da violação

Em uma mensagem separada postada on-line pela Dork Khosrowshahi, recentemente investida pela Uber, a empresa suspeita que dois hackers estiveram envolvidos no hack.

Bloomberg, que primeiro quebrou a história, afirma que a empresa pagou aos dois hackers 100 mil dólares para excluirem os dados e manterem o incidente em sigilo. Bloomberg também informou que o Uber pediu ao seu chefe de segurança, John Sullivan, que renuncie e demitiu um dos advogados que atuaram como assistente de Sullivan.

Khosrowshahi também disse que informou as autoridades responsáveis ​​pela aplicação da lei e a FTC do hack. A empresa chegou aos reguladores apenas na semana passada, quase um ano após o hack, e quando ficou evidente a notícia estava prestes a quebrar o público.

Após a novidade, o Procurador-Geral da Nova York iniciou uma investigação sobre a forma como Uber manipulou o hack e não alertou usuários e autoridades assim que soube do incidente.

Os hackers obtiveram dados de “serviço de nuvem de terceiros”

De acordo com Khosrowshahi, os hackers “acessaram dados de usuários acessados ​​inadequadamente em um serviço baseado em nuvem de terceiros” que a Uber estava utilizando para armazenar dados de usuários. Khosrowshahi deixou claro que os hackers “não violaram os sistemas corporativos ou a infra-estrutura” do Uber “.

Do lado de fora, a violação parece ter ocorrido por causa de um servidor de nuvem não seguro ou mal configurado, provavelmente um sistema de teste para executar testes ou outros sistemas in-dev. Tais incidentes foram desenfreados nos últimos dois anos, com o último servidor de nuvem que afeta os militares dos EUA .

“Continuamos a ver as configurações erradas do controle de segurança que resultam em violações dispendiosas”, disse Stephan Chenette, CEO e co-fundador da AttackIQ à Bleeping Computer. “O que torna esta violação particularmente prejudicial é o fracasso do Uber em divulgar eticamente a violação aos seus clientes. Este é outro fracasso épico”.

BLEEPING COMPUTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *