Uber pagou a jovem de 20 anos para manter roubo de dados em segredo
A Uber anunciou a 21 de novembro que os dados pessoais de 57 milhões de utilizadores, incluindo 600 mil motoristas nos Estados Unidos, tinham sido roubados em outubro de 2016 e que tinha pago ao hacker 100 mil dólares para destruir a informação. Mas na altura, a empresa não revelou qualquer informação sobre o pirata informático ou como tinha feito o pagamento.
De acordo com a Reuters, o pagamento foi feito no ano passado através de um programa desenhado para recompensar analistas de segurança que reportam falhas no software de uma empresa, explicaram três fontes próximas do processo. O serviço de recompensas por bugs da Uber é alojado por uma empresa chamada HackerOne, que oferece a sua plataforma a um número de empresas tecnológicas.
A Reuters não foi capaz de chegar à identidade do hacker ou de outras pessoas que as fontes que contactou dizem que o ajudaram. O porta-voz da Uber Matt Kallman escusou-se a comentar a notícia.
Quando anunciou o roubo dos dados, o novo CEO da Uber, Dara Khosrowshahi, adiantou ter despedido dois executivos de topo da empresa ligados à segurança, alegando que o incidente deveria ter sido revelado aos reguladores no momento em que foi descoberto, cerca de um ano antes.
Fica por saber quem tomou a decisão final de fazer o pagamento ao hacker e de manter o ataque em segredo, embora as fontes contactadas pela Reuters digam que o ex-CEO Travis Kalanick estava ciente da fuga e do pagamento. Através do seu porta-voz, Kalanick não quis fazer comentários.
Um pagamento de 100 mil dólares através de um programa de recompensas por bugs é extremamente raro, com um antigo executivo da HackerOne a dizer que se trata de um recorde. Profissionais de segurança afirmam ainda que recompensar um hacker que roubou dados também está fora dos procedimentos normais do programa de recompensas, onde os pagamentos normalmente se situam entre os cinco mil e os dez mil dólares.
De acordo com o que duas fontes disseram à Reuters, a Uber fez o pagamento para confirmar a identidade do pirata informático e fazê-lo assinar um acordo de confidencialidade para evitar que levasse a cabo novos ataques. A Uber fez ainda uma análise forense à máquina do hacker para garantir que os dados tinham sido apagados.
Uma fonte descreveu o pirata informático como "vivendo com a sua mãe, numa casa pequena e a tentar ajudar a pagar as contas", adiantando que os membros da equipa de segurança da Uber não queriam levar à justiça uma pessoa que não parecia ser uma ameaça.
O jovem da Florida pagou a uma pessoa por serviços que envolviam o acesso ao GitHub, um site usado por programadores para armazenarem os seus códigos, obter credenciais de acesso a dados da Uber alojados noutros locais, disse à Reuters uma das fontes.
* com Reuters