Uber pagou US$ 100 mil a hackers para encobrir violação massiva de dados
Publicados: 2017-11-22Como parte da violação que ocorreu no ano passado, dados de 57 milhões de usuários e motoristas do Uber foram acessados ilegalmente
Em um mundo onde mais de 2,5 quintilhões de bytes de dados são consumidos diariamente por meio de e-mails, vídeos, imagens, tweets e conteúdo, a violação de uma forma ou de outra é inevitável. Quando ocorre uma violação de segurança, o ônus recai sobre a empresa/plataforma infiltrada para alertar clientes e agências governamentais. Foi aí que o Uber falhou terrivelmente.
De acordo com relatórios que surgiram esta semana, a gigante global de compartilhamento de viagens sofreu uma violação massiva em outubro de 2016, na qual dados de mais de 57 milhões de motoristas e clientes foram acessados ilegalmente . Em vez de denunciar a violação às autoridades, a Uber optou por manter o hack em segredo por mais de um ano, chegando a pagar US$ 100 mil aos invasores por seu silêncio .
Relatos do ataque cibernético finalmente surgiram quando o agregador de táxis demitiu seu diretor de segurança e algumas outras pessoas envolvidas no encobrimento, no início desta semana.
Em resposta à controvérsia, o recém-coroado CEO da empresa, Dara Khosrowshahi , declarou: “Nada disso deveria ter acontecido, e não vou inventar desculpas para isso. Estamos mudando a forma como fazemos negócios. Embora eu não possa apagar o passado, posso comprometer em nome de cada funcionário da Uber que aprenderemos com nossos erros.”
Curiosamente, esta não é a primeira vez que detalhes privados de motoristas e clientes da Uber são acessados. Em 2015, o agregador de táxis vazou acidentalmente informações pessoais de centenas de seus motoristas por meio de um aplicativo recém-lançado chamado “Uber Partner”. Detalhes como números de segurança social, digitalizações de carteiras de motorista e formulários fiscais foram tornados públicos.
O que exatamente aconteceu em outubro passado?
Como parte da violação que ocorreu em outubro do ano passado, os invasores obtiveram acesso a nomes, endereços de e-mail e números de telefone de mais de 50 milhões de usuários do Uber de todo o mundo. Além disso, os dados pessoais de até 7 milhões de motoristas , incluindo 600 mil apenas nos EUA, foram hackeados, revelaram fontes.
Então, como exatamente a violação aconteceu? Conforme narrado pela Bloomberg em um relatório recente, dois invasores conseguiram invadir um lado de codificação do GitHub usado pelos engenheiros da Uber e recuperar credenciais de login autênticas, que depois usaram para acessar dados privados armazenados em uma das contas da empresa na AWS.
A conta, segundo fontes, estava sendo usada pela equipe de engenharia do agregador de cabines para lidar com várias tarefas de computação. Por meio da conta, os hackers colocaram as mãos em um extenso arquivo de dados de passageiros e motoristas. Armado com esses detalhes, a dupla supostamente chantageou a empresa por dinheiro.
Em vez de informar as autoridades sobre a violação, a Uber decidiu resolver o problema por conta própria. Embora pagar uma quantia fixa para comprar o silêncio dos atacantes fosse provavelmente seu primeiro plano de ação, a empresa alegou que havia tomado medidas para reverter a violação.
Khosrowshahi acrescentou: “No momento do incidente, tomamos medidas imediatas para proteger os dados e interromper o acesso não autorizado dos indivíduos. Também implementamos medidas de segurança para restringir o acesso e fortalecer os controles em nossas contas de armazenamento baseadas em nuvem.”
No entanto, as informações hackeadas provavelmente nunca foram usadas, afirmou o CEO Dara Khosrowshahi.
Recomendado para você:
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Startups indianas pegam atalhos em busca de financiamento
Plataforma de marketing digital Logicserve Bags Financiamento de INR 80 Cr, renomeia como LS Dig...
Então, por que o Uber encobriu a violação em primeiro lugar?
Para entender por que a Uber optou por manter a violação em segredo, em vez de lidar com ela de maneira transparente, precisamos nos aprofundar. Curiosamente, o incidente ocorreu em um momento em que a plataforma de compartilhamento de caronas já estava envolvida em uma investigação sobre suspeitas de violações de privacidade.
O então CEO da Uber, Travis Kalanick, foi informado do ataque mais tarde em novembro de 2016. Conforme relatado pela Bloomberg em seu relatório, o agregador de táxis acabara de resolver um processo em Nova York sobre divulgações de segurança de dados e estava envolvido em negociações com o Federal Trade Comissão sobre medidas de segurança ao lidar com dados do consumidor.
As ações questionáveis tomadas após a violação foram em grande parte realizadas pelo diretor de segurança agora destituído, Joe Sullivan. Quase onze meses após o ataque, o conselho da Uber contratou um escritório de advocacia terceirizado para iniciar uma investigação sobre todo o episódio. A má gestão da crise por Sullivan e a falta de divulgação foram descobertos apenas no mês passado.
Após a divulgação da declaração da Uber ontem, o procurador-geral de Nova York, Eric Schneiderman, ordenou uma nova investigação sobre o ataque cibernético. Enquanto isso, a gigante de caronas também foi processada por um cliente sob acusação de negligência.
Uber: um legado problemático que não vai embora
Fundada em agosto de 2008 por Travis Kalanick e Garrett Camp, a empresa com sede em São Francisco está atualmente no processo de levantar impressionantes US$ 10 bilhões do Softbank e de um punhado de outros investidores. Embora avaliada em mais de US$ 70 bilhões, sua jornada nos últimos nove anos foi nada menos que dramática. Janeiro de 2017 começou com a Uber enfrentando uma campanha social #DeleteUber depois que foi incorretamente percebida como uma tentativa de quebrar uma greve de táxi de uma hora no aeroporto JFK.
Mais tarde, pegou a ira dos usuários depois que Donald Trump assinou uma ordem executiva sobre a proibição de imigração para refugiados sírios e bloqueou a entrada de cidadãos de sete países predominantemente muçulmanos. Naquela época, Travis Kalanick, do Uber, estava no conselho consultivo de negócios de Trump e isso levou à extensão do #DeleteUber.
Em fevereiro, a ex-engenheira do Uber, Susan Fowler, divulgou acusações de assédio sexual e sexismo em um post no blog sobre seu ano no Uber. No mesmo mês, a Waymo, uma empresa de carros autônomos desmembrada do Google, processou o Uber alegando que Anthony Levandowski – ex-gerente do projeto de carros autônomos do Google – roubou tecnologia essencial do Google antes de sair para administrar o carro autônomo do Uber. divisão.
Após todas essas alegações, Travis Kalanick deixou o cargo de CEO sob pressão dos investidores em 20 de junho, em meio à pressão de outros acionistas. Desde então, Kalanick também foi processado pelo investidor inicial Benchmark Capital, bem como pelo Irving Firemen's Relief and Retirement Fund, acusando-o de fraude, quebra de contrato e quebra de dever fiduciário.
No final de agosto, o Uber encontrou seu novo capitão em Dara Khosrowshahi. Em setembro, o agregador de táxis ganhou as manchetes mais uma vez quando foi proibido em Londres. Quando surgiram as notícias originalmente de que a autoridade de transporte de Londres não renovaria a licença do Uber para operar na cidade, Khosrowshahi disse em uma carta aberta: “Em nome de todos no Uber globalmente, peço desculpas pelos erros que cometemos. ” Desde então, o Uber entrou com um recurso junto ao Transport for London para reverter a proibição e espera iniciar as operações na cidade em breve.
Coisas que parecem mais brilhantes no mercado indiano
No final de 2016, a receita líquida da Uber atingiu US$ 6,5 bilhões; um número impressionante se não considerarmos as perdas de US$ 2,8 bilhões encontradas durante o mesmo período. No caso da Índia, a receita total relatada no EF15 foi de apenas US$ 3 milhões (INR 18,7 Cr) superior às perdas incorridas.
Desde que vendeu suas operações chinesas para a Didi Chuxing, com sede em Pequim, e se fundiu com a Yandex na Rússia, no entanto, a Uber começou a concentrar seus esforços na captura do mercado indiano, que atualmente é povoado por gigantes caseiros como Ola e associações tradicionais de táxi. No ano passado, por exemplo, prometeu injetar uma parte substancial dos US$ 3,5 bilhões que arrecadou do Fundo de Investimento Público da Arábia Saudita na Uber Índia.
Em julho deste ano, a empresa despejou US $ 7,99 milhões (INR 51,64 Cr) na Uber Índia, conforme registros no Registro de Empresas. Essa infusão ocorreu em maio de 2017, conforme registros da empresa no MCA. O valor foi transferido das subsidiárias da empresa na Holanda, incluindo Uber Holdings International BV, Uber International BV, Besitz Holding BV e Mieten BV.
Desde junho de 2016, a presença da empresa na Índia cresceu 2,5 vezes em termos de número de viagens e volume total de mercadorias, conforme afirmou o chefe da Uber Índia, Amit Jain, em entrevista ao Livemint. Para solidificar sua presença na Índia, a startup de táxi iniciou o piloto do UberPASS em cidades metropolitanas selecionadas, graças às quais os taxistas agora podem aproveitar tarifas com desconto e uma variedade de benefícios exclusivos. Isso inclui escolher os motoristas mais bem avaliados, isenção de taxas de cancelamento, acesso exclusivo a produtos e recursos premium e muito mais.
Ele também investiu na entrega de alimentos com o serviço UberEATS, que oferece aos restaurantes locais uma opção de entrega. A empresa também afirma que nomeou centenas de parceiros de entrega para tornar o UberEATS um sucesso. Enquanto isso, o primeiro-ministro Narendra Modi planeja se unir a empresas de compartilhamento de táxi, incluindo a Uber, na tentativa de reduzir o congestionamento do tráfego. O teste de três meses permitirá ao governo acessar maneiras de reduzir a propriedade de carros particulares no país.
Em julho, o braço indiano da empresa de caronas anunciou a integração da Unified Payment Interface (UPI) em sua plataforma. A facilidade foi integrada para permitir que os passageiros que já possuem endereços virtuais de pagamento para transações UPI paguem por suas viagens usando a plataforma de pagamento banco a banco.
Goste ou não, as violações de dados são uma ocorrência comum hoje em dia. Grandes players como Yahoo, MySpace, Target Corp, Anthem Inc e Equifax Inc sofreram algum tipo de violação de segurança nos últimos tempos. Isso, no entanto, não justifica a decisão da Uber de encobrir uma violação dessa escala. Em um ano repleto de polêmicas e contratempos, esse poderia ser o último prego no caixão que prende o Uber?