.
A Uber teve mais dados internos roubados de um terceiro que sofreu uma violação de segurança. Desta vez, as informações pessoais dos motoristas do aplicativo foram roubadas por criminosos dos sistemas de TI do escritório de advocacia Genova Burns.
Em uma carta [PDF] aos motoristas afetados, os advogados disseram que investigaram a invasão e tiveram más notícias: “A investigação determinou que as informações que você forneceu ao Uber, incluindo seu nome e número do Seguro Social e/ou CPF, estavam entre os dados afetados .”
Uber não respondeu Strong The Onesobre quantos de seus motoristas tiveram seus registros roubados. Em vez disso, um porta-voz nos enviou um e-mail com esta declaração:
A Genova Burns disse em sua carta que tomou conhecimento de atividades suspeitas em seus sistemas de TI em 31 de janeiro e contratou uma equipe de segurança forense para investigar o que acabou sendo uma invasão digital.
Como resultado dessa investigação, os advogados alertaram a aplicação da lei, mudaram todas as senhas do sistema e prometeram tomar “medidas adicionais para melhorar a segurança e ajudar a proteger contra incidentes semelhantes no futuro”.
Nenhuma palavra, no entanto, sobre o que essas etapas adicionais envolverão. Genova Burns se recusou a responder Strong The Oneperguntas específicas sobre a intrusão.
“Determinamos que um terceiro não autorizado obteve acesso aos nossos sistemas e certos arquivos limitados foram acessados ou exfiltrados entre 23 de janeiro de 2023 e 31 de janeiro de 2023”, afirmou o aviso de invasão, acrescentando que o escritório de advocacia realizou uma “revisão abrangente” para determinar o que os bandidos roubaram.
Os advogados acrescentaram que possuíam essas informações pessoais como resultado de trabalhos jurídicos para o Uber.
E, como sempre, os indivíduos afetados recebem 12 meses de serviços gratuitos de monitoramento de identidade para compensar seus dados roubados, que podem ser usados para roubo de identidade ou vendidos em fóruns de cibercrime.
Isso aconteceu no ano passado, após uma violação separada de terceiros. Depois de invadir a rede do provedor de software e fornecedor do Uber Teqtivity, um cibercriminoso que se autodenomina UberLeaks dados compartilhados pertencentes aos trabalhadores da Uber em BreachForums.
Nenhum dado do cliente Uber foi tocado nessa violação de privacidade, embora informações sobre mais de 77.000 funcionários do Uber e UberEats tenham vazado. Alguns dos dados divulgados também estão relacionados a serviços de fornecedores terceirizados e às plataformas de gerenciamento de dispositivos móveis que o Uber usa.
O fabricante de aplicativos sofreu sua parcela de fiascos de roubo de dados, principalmente o invasão de 2016 em que bandidos roubaram 57 milhões de registros de clientes e motoristas. O Uber tentou encobrir o roubo fazendo um pagamento de resgate, feito aos ladrões para recuperar os dados, como um prêmio de recompensa por bug. Demissões e ações judiciais seguido.
Mais recentemente, em setembro de 2022, um adolescente filiado ao Gangue Lapsus$ acessou os sistemas internos da Uber, incluindo a conta do G Suite da corporação, e baixou mensagens internas do Slack e uma ferramenta usada por seu departamento financeiro para gerenciar “algumas” faturas.
O invasor disse que invadiu o Uber para se divertir, pode liberar parte de seu código-fonte e descreveu a segurança da empresa como “horrível”. ®
.
