David Emm, investigador sénior da companhia de segurança informática Kaspersky, sublinha que o ataque à Uber, onde os dados das contas de pelo menos 57 milhões de utilizadores e motoristas ficaram expostos aos cibercriminosos, revela a necessidade de regulamentação.
As informações disponíveis indicam que o ataque terá ocorrido em Outubro de 2016, há mais de um ano.
Numa declaração divulgada pela firma de segurança russa, aquele especialista considera que este caso demonstra, uma vez mais, «a extrema importância de existir transparência e responsabilidade das empresas».
Observa que tem existido um volume considerável de avisos relativos a violações de dados que «de pouco servem aos consumidores afectados», já que apenas foram revelados posteriormente.
David Emm manifesta a esperança que o Regulamento Geral de Protecção de Dados (GDPR, na sigla inglesa), da União Europeia, que entra em vigor em Maio de 2018, motive as empresas para tomarem medidas para a protecção dos dados dos consumidores e aa informarem em tempo útil sobre falhas de segurança.
A Kaspersky considera que a Uber, ao pagar aos hackers abre um perigoso precedente e incentiva-os a prosseguir com os ataques.
Emm acrescenta que, com as multas do GDPR a chegarem a 4% da facturação anual, poderá haver mais casos de criminosos a fazer chantagem com as empresas por o resgate ser consideravelmente inferior à multa a que a empresa está sujeita.
James Lyne, consultor da empresa de segurança Sophos, destaca que a Uber não é a primeira nem será última empresa a esconder uma violação da informação ou um ciberataque, mas sublinha que não avisar os clientes da situação coloca-os em grande risco de serem vítimas de fraude.
Observa que é por isto que muitos países estão a adoptar regulamentações que obrigam a divulgar situações em que a informação dos clientes ou utilizadores foi comprometida.
A Sophos aconselha os clientes e motoristas da Uber a monitorizarem a movimentação dos seus cartões de crédito e a averiguarem que tipo de informação foi roubada.
Paul Ducklin, num texto publicado no blogue da Sophos, afirma, citando a agência Bloomberg, que depois de os dados de 57 milhões de clientes e condutores terem sido comprometidos, a Uber não avisou as vítimas e pagou aos cibercriminosos 100 mil dólares para apagarem os dados obtidos e para não divulgarem o incidente de segurança.
A Uber disse àquela agência noticiosa que os dados comprometidos incluem nomes, endereços electrónicos e números de telefone de 50 milhões de clientes da Uber e informação pessoal de 7 milhões de condutores, incluindo os números de carta de condução de 600 mil motoristas dos Estados Unidos.
A Uber diz que não foi comprometida informação de cartões de crédito, números de segurança social, detalhes das viagens e outros dados.
Ducklin assinala que esta história «soa terrivelmente familiar» porque a Uber sofreu em Maio de 2014 uma intrusão no seu sistema que só veio a ser conhecida em Fevereiro de 2015 e observa que ainda «está muito por contar» nestas histórias.
O cientista e investigador Chester Wisniewski, especialista da Sophos, sublinha que a perda de informação da Uber «demonstra mais uma vez como os desenvolvedores de software devem levar a segurança a sério e nunca embeber ou implementar ficheiros e chaves de acesso nos repositórios de código fonte».
Chester Wisniewski afirma que «esta é apenas outra equipa desenvolvimento com práticas de segurança fracas que partilharam credenciais».
Infelizmente isto é mais comum do que deveria em ambientes de desenvolvimento ágeis, conclui Wisniewski.
Fernando Gonçalves -
Há muito tempo que a Uber já devia ter sido regulamentada. E esperarem um ano para informarem do roubo de dados? É suspeito. De certo que não contam a história toda.