_Cibersegurança

Ex-diretor da Uber é acusado de encobrir ataque que expôs dados de 57 milhões de usuários

Um ex-diretor-chefe de segurança da Uber foi acusado esta semana por uma suposta tentativa de ocultar de um enorme hack ocorrido em 2016. O ataque expôs as informações pessoais de cerca de 57 milhões de usuários da Uber — ele teria tentado ao máximo varrer esse vazamento para baixo do tapete. De acordo com uma […]

Logo da Uber em uma parede visto de lado, com uma pessoa fora de foco ao fundo.

Foto: Josh Edelson/AFP/Getty

Um ex-diretor-chefe de segurança da Uber foi acusado esta semana por uma suposta tentativa de ocultar de um enorme hack ocorrido em 2016. O ataque expôs as informações pessoais de cerca de 57 milhões de usuários da Uber — ele teria tentado ao máximo varrer esse vazamento para baixo do tapete.

De acordo com uma queixa criminal apresentada esta semana no Tribunal Distrital do Norte da Califórnia, Joseph Sullivan disse à sua equipe de segurança para manter os detalhes sobre o hack “rigidamente controlados”, o que supostamente incluía mentir sobre o escopo do vazamento para o novo CEO da Uber, Dara Khosrowshahi, que ingressou na empresa em 2017. O New York Times noticiou as acusações em primeira mão.

Sullivan não apenas instruiu sua equipe de segurança a reter informações sobre o hack e informar outros funcionários “apenas quando necessário”, afirma a queixa, mas a empresa também tratou o ataque como se estivesse associado a seu programa que paga recompensas a especialistas que encontram falhas de segurança. Eles optaram por pagar US$ 100 mil aos hackers — uma quantia que superou qualquer coisa que a Uber já havia pago pela descoberta de vulnerabilidades tecnológicas anteriores.

Além disso, Sullivan fechou um acordo de não divulgação com os hackers envolvidos em troca da quantia — o que era, novamente, incomum para a Uber — e intencionalmente ocultou no documento o fato de que todos os dados haviam sido roubados.

Mais problemático ainda foi que Sullivan em nenhum momento repassou informações à Comissão Federal do Comércio dos EUA durante a correspondência com a agência sobre questões não relacionadas à violação de 2016, de acordo com a denúncia. Ele também supostamente “não informou aos advogados da Uber que trabalhavam na investigação da FTC — interna ou externamente — que a violação havia ocorrido”.

Poucos meses depois de Khosrowshahi ingressar na empresa, o vazamento veio à tona, e Sullivan e outro funcionário do departamento jurídico da empresa foram demitidos. Os dois indivíduos por trás do ataque à Uber, Brandon Glover e Vasile Mereacre, se declararam culpados no ano passado.

“Continuamos a cooperar totalmente com a investigação do Departamento de Justiça”, disse um porta-voz da Uber ao Gizmodo por e-mail na sexta-feira (21). “Nossa decisão em 2017 de divulgar o incidente não foi apenas a coisa certa a fazer; ela incorpora os princípios pelos quais conduzimos nossos negócios hoje: transparência, integridade e responsabilidade.”

“Ocultar às autoridades policiais informações sobre um crime é crime”, disse o agente especial Craig D. Fair, responsável pela acusação, em um comunicado. “Embora este caso seja um exemplo extremo de uma tentativa prolongada de subverter a aplicação da lei, esperamos que as empresas se levantem e tomem conhecimento. Não ajude hackers criminosos a encobrir seus rastros. Não torne o problema pior para seus clientes e não encubra tentativas criminosas de roubar dados pessoais das pessoas.”

Sair da versão mobile