Uber pagou US$ 100 mil a hackers para acobertar vazamento de dados em 2016

A invasão nos servidores da empresa ocorreu em outubro de 2016 – 57 milhões de usuários foram afetados, mas números de cartão de crédito não foram roubados

Por Bruno Vaiano SEGUIR SEGUINDO
Atualizado em 11 mar 2024, 16h56 - Publicado em 22 nov 2017, 15h16

Em outubro de 2016, hackers roubaram dados pessoais de 57 milhões de usuários e motoristas da Uber. Na época, a empresa não alertou as pessoas afetadas pelo vazamento, e pagou US$ 100 mil aos criminosos para impedi-los de divulgar as informações e manter a falha de segurança em segredo. A história veio à tona na última terça-feira (21), graças a uma reportagem da Bloomberg. Ainda não se sabe se o ex-CEO Travis Kalanick – afastado em junho de 2017 após uma série de escândalos, que incluíram denúncias de assédio moral e sexual frequentes entre funcionários da empresa – supervisionou a operação.

Um anúncio publicado no site oficial afirma que não: o vazamento só teria chegado aos ouvidos da cúpula da empresa um mês após funcionários do setor de segurança acobertarem o caso, à revelia de seus superiores. “Quando nós descobrimos o incidente, em novembro de 2016, nós tomamos atitudes para evitar maiores problemas, mas não informamos os usuários”, afirma o release. “Isso é errado.”

Entre os dados vazados estão nomes, números de telefone e endereços de e-mail, além das placas de 600 mil motoristas norte-americanos. A Uber garantiu que informações mais delicadas – como números de cartão de crédito, CPFs e as rotas percorridas pelos passageiros – não foram acessados. A empresa fornecerá assistência jurídica gratuita aos condutores, caso seja necessário. “Nós estamos notificando os motoristas afetados por e-mail e oferecendo gratuitamente monitoramento de atividade bancária e proteção contra roubo de identidade”, garante o anúncio oficial.

“Nada disso deveria ter acontecido, e eu não vou inventar desculpas”, declarou o atual CEO Dara Khosrowshahi. “Nós estamos mudando nossa maneira de fazer negócios.” Os funcionários responsáveis por fechar o acordo de confidencialidade e pagar o suborno foram demitidos. Uma das bandeiras de Khosrowashahi é justamente melhorar a reputação da empresa na mídia e no mercado.

A tentativa de acobertar a falha de segurança está sendo tratada como amadorismo por jornalistas e especialistas em lei e tecnologia. Ter os servidores invadidos por criminosos não é crime – mas não informar as pessoas afetadas é. “A única maneira de uma empresa ser culpada diretamente no caso de um vazamento é ela não notificá-lo“, explicou ao The Guardian Chris Hoofnagle, da Universidade de Berkeley. “Não faz sentido encobrir um vazamento.”

Segundo o The New York Times, o pagamento de US$ 100 mil foi disfarçado para parecer uma prática chamada bug bounty (em português, “caça de falhas”) – em que empresas de tecnologia contratam hackers para simular ataques virtuais e encontrar pontos fracos nos sistemas de segurança. O jornal norte-americano também afirma que, ao pagar para que os hackers destruíssem as informações roubadas, a Uber pode ter violado uma norma da Federal Trade Commission (agência federal de defesa do consumidor e regulação de monopólios) que proíbe empresas de eliminarem evidências forenses no curso de uma investigação.