2017-11-22

SEGURANÇA

Uber pagou a hackers para esconder perda massiva de dados

A Uber pagou a hackers 100 mil dólares para impedir que viesse a público que tinha sido alvo de um ataque que comprometeu informação pessoal de 57 milhões de contas.

Dara Khosrowshahi, a recém-chegada CEO da Uber, revelou esta terça-feira, dia 21, que os dados pessoais incluem nomes e informação sobre as cartas de condução de 600 mil motoristas e nomes, endereços de e-mail e números de telefone de 57 milhões de utilizadores da plataforma. Dados de cartões de crédito não foram comprometidos. O incidente ocorreu em outubro de 2016 e a Uber admite ter pago 100 mil dólares aos hackers para impedir que viesse a público.

A CEO, que substituiu em Agosto o co-fundador da Uber, Travis Kalanick, afirma no blog post que só agora ter tido conhecimento do ocorrido e que os dois funcionários envolvidos na resposta ao ataque foram despedidos.

Segundo a Bloomberg, a primeira a avançar a notícia, o resgate de 100 mil dólares pago pela Uber serviu para esconder a perda de dados e para que os hackers os apagassem.

O ataque terá ocorrido quando os hackers descobriram que os developers da Uber haviam publicado código que incluía os seus usernames e passwords numa conta da Github, plataforma de hospedagem de código-fonte.

Essas credenciais permitiram que os hackers tivessem acesso aos privilégios das suas contas e, desse modo, luz verde para aceder aos servidores da Uber alojados na Amazon.

 

Pagar abre "perigoso" precedente

David Emm, especialista e investigador sénior na Kaspersky Lab, realça num comunicado emitido pela empresa que este caso da Uber "demonstra, uma vez mais, a extrema importância de existir transparência e responsabilidade nas empresas".  David Emm indica que "tem existido um volume considerável de casos nos últimos anos de avisos de ataques relacionados com violações de dados que de pouco servem aos consumidores afetados pelos mesmos, já que apenas foram revelados posteriormente", salientando a necessidade de regulamentação.

Emm diz que ao pagar aos hackers, a Uber "está a abrir um perigoso precedente onde estes são incentivados a continuar". O investigador da Kaspersky sublinha ainda que, perante a possibilidade das multas ligadas ao RGPD representarem 4% na faturação anual, "é possível que vejamos mais casos de hackers a fazerem chantagem com empresas cuja segurança violaram, se o resgate que estes pedem para não concretizar o ataque é consideravelmente inferior do que a multa que a empresa teria de pagar se tivesse reportado o incidente.

 

Não notificar coloca clientes em posição de risco

James Lyne, advisor de cibersegurança da Sophos, diz em comunicado que "a Uber não é a primeira nem será a última empresa a esconder uma violação de informação ou um ciberataque" e que, no entanto, "não notificar os clientes coloca-os numa posição de grande risco de serem vitimados com fraude". É precisamente por este motivo, realça, que "muitos países estão a impulsionar regulamentações que obrigam a divulgação no caso de violação de informação”.

Chester Wisniewski, cientista de investigação da Sophos, refere no mesmo comunicado que este caso "demonstra mais uma vez como os developers devem levar a segurança a sério e nunca embeber ou implementar fichas ou chaves de acesso nos repositórios dos código-fonte". O investigador acrescenta que, "deixando o drama de parte e os potenciais impactos do regulamento RGPD, esta é apenas outra equipa de desenvolvimento com práticas de segurança fracas que partilharam credenciais. Infelizmente, isto é mais comum do que devia em ambientes de desenvolvimento ágeis”.
 

 
 

Recomendado pelos leitores

Ataques de phishing aumentam significativamente durante Black Friday e Cyber Monday
SEGURANÇA

Ataques de phishing aumentam significativamente durante Black Friday e Cyber Monday

LER MAIS

63% dos executivos de utilities temem ciberataques à rede elétrica
SEGURANÇA

63% dos executivos de utilities temem ciberataques à rede elétrica

LER MAIS

Os 10 piores ataques de ransomware em 2017
SEGURANÇA

Os 10 piores ataques de ransomware em 2017

LER MAIS

IT CHANNEL Nº43 Dezembro de 2017

IT CHANNEL Nº43 Dezembro de 2017

VER EDIÇÕES ANTERIORES