+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Ex-CSO da Uber norte-americana responderá judicialmente por encobrir vazamento de dados

Conformidade, Proteção e Privacidade de Dados

uber-vazamento-dados

Encobrir vazamento de dados pessoais pode custar bem caro para quem optar por isso.

No último dia 20, o Departamento de Justiça dos EUA publicou nota anunciando que o ex-Chief Strategy Officer (CSO) da Uber, Joseph Sullivan, tentou deliberadamente encobrir um vazamento de dados pessoais, em 2016. Tal vazamento comprometeu os dados pessoais de milhões de usuários e motoristas. Joseph foi acusado de obstrução de justiça.

O procurador dos EUA, Anderson, anuncia acusações contra Joseph Sullivan por suposto encobrimento de vazamento de dados da Uber.

O principal objetivo do ex-CSO foi impedir que esse vazamento chegasse ao conhecimento da Federal Trade Commission (FTC). A sua estratégia foi ceder a chantagem de dois hackers e realizar pagamento para os cybercriminosos através de um programa de recompensa por descoberta de bugs, sem comprometimento de dados, da própria Uber, para remunerar Ethical hackers, também conhecidos como “White hats”.

Durante a sua passagem pela Uber, Joseph foi contatado por dois hackers que exigiram pagamento em troca de silêncio, já que eles acessaram e baixaram um banco de dados da própria Uber contendo dados pessoais de aproximadamente 57 milhões de usuários e 600.000 motoristas desta organização. O banco de dados incluía:

  • Nome Completo;
  • Histórico de localização de viagens;
  • Números de cartão de crédito;
  • Números de contas bancárias;
  • Números das carteiras de motorista
  • Números do seguro social; e
  • Datas de nascimento.

A Uber realmente pagou aos hackers US$ 100.000,00 em bitcoins, em dezembro de 2016, apesar do fato de que, os hackers nunca forneceram seus nomes verdadeiros e já tinham os dados.

O porta-voz da organização, Bradford Williams, forneceu a seguinte declaração:

Continuamos a cooperar totalmente com a investigação do Departamento de Justiça. Nossa decisão em 2017 de divulgar o incidente não foi apenas a coisa certa a fazer, ela incorpora os princípios pelos quais conduzimos nosso negócio hoje : transparência, integridade e responsabilidade.

Bradford Williams

Um comunicado da própria Uber, através do CEO Dara Khosrowshadi, veio a público em 21 de novembro de 2017 e demostra a transparência e comprometimento desta organização:

Nada disso deveria ter acontecido e não vou arranjar desculpas para isso. Embora não possa apagar o passado, posso garantir em nome de cada funcionário do Uber que aprenderemos com nossos erros. Estamos mudando a forma como fazemos negócios, colocando a integridade no centro de todas as decisões que tomamos e trabalhando duro para conquistar a confiança de nossos clientes.

Dara Khosrowshadi, CEO da Uber

A partir deste comunicado, a organização se comprometeu a:

  • Notificar individualmente os motoristas cujos números de carteira de motorista foram baixados;
  • Fornecer a esses motoristas monitoramento de crédito gratuito e proteção contra roubo de identidade;
  • Notificar as autoridades regulatórias;
  • Monitorar as contas afetadas e sinalizando-as para proteção adicional contra fraude.

Cabe ressaltar que o próprio Bradford se manifestou sobre o ex-CSO informando que ele é um profissional renomado e respeitado de cybersegurança e que também já foi procurador federal. Somado a isto, Bradford esclareceu que este caso deu origem a uma larga investigação interna através de time multidisciplinar formado pelos mais renomados especialista em segurança de dados, incluindo o próprio Joseph, e sem e seu time, provavelmente os cybercriminosos nunca seriam descobertos.

Sullivan observou: “Desde o início, o Sr. Sullivan e sua equipe colaboraram de perto com as equipes jurídicas, de comunicação e outras equipes relevantes da Uber, de acordo com as políticas escritas da empresa. Essas políticas deixaram claro que o departamento jurídico da Uber – e não o Sr. Sullivan ou seu grupo – era responsável por decidir se, e para quem, o assunto deveria ser divulgado. ”

Os dois hackers foram identificados e processados no Distrito da Califórnia do Norte. Ambos se declararam culpados, em 30 de outubro de 2019, com relação às acusações de conspiração por fraude em computador e agora aguardam sentença. A reclamação criminal deixa claro que os dois cybercriminosos continuaram seus ataques, com sucesso a outras organizações de tecnologia e os dados de seus usuários. E, este fato é atribuído a Joseph não ter levado a violação de dados da Uber ao conhecimento das autoridades.

Joseph Sullivan recebeu uma intimação para em audiência com um juiz, na sexta-feira, 27 de agosto de 2020, às 10h.

Referências Bibliográficas:

FORBES. Uber’s Former CSO Charged With Paying $100,000 In Bitcoin To Hide Massive Data Breach. Disponível em: https://www.forbes.com/sites/jasonbrett/2020/08/20/former-uber-cso-arrested-for-paying-100000-bitcoin-to-hide-data-breach-of-57-million-customers/#159c1bcc5994. Acesso em: 25 ago. 2020.

UBER. 2016 Data Security Incident. Disponível em: https://www.uber.com/newsroom/2016-data-incident. Acesso em: 25 ago. 2020.

UNITED STATES DEPARTMENT OF JUSTICE. Former Chief Security Officer For Uber Charged With Obstruction Of Justice. Disponível em: https://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-charged-obstruction-justice. Acesso em: 25 ago. 2020.

THE HACK. Ex-CSO da Uber vai responder judicialmente por encobrir vazamento em 2016. Disponível em: https://thehack.com.br/ex-cso-da-uber-vai-responder-judicialmente-por-encobrir-vazamento-em-2016.  Acesso em: 25 ago. 2020.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *