.
O Uber, que já sofreu alguns roubos de dados em seu tempo, está lidando esta semana com as consequências de mais um – desta vez de um de seus fornecedores de tecnologia.
Um cibercriminoso que se autodenomina “UberLeaks” no fim de semana vazou dados pertencentes aos funcionários do Uber no BreachForums – um site que apareceu em abril depois que o RaidForums foi desligar.
Executivos da Uber disseram que as informações despejadas online não eram do violação maciça em setembro, mas de um ataque à Teqtivity – um fornecedor cujo software permite que as empresas rastreiem seus ativos de TI, como telefones e computadores, e realiza trabalhos para o Uber.
A postagem no BreachForums deu a entender que a famosa gangue Lapsus$ estava envolvida, embora pareça não haver outras indicações disso.
De acordo com um declaração da Teqtivity, um invasor obteve acesso a um servidor de backup hospedado pela Amazon Web Services que armazenava códigos e arquivos de dados relacionados aos clientes da Teqtivity, incluindo o Uber.
Nenhum dado do cliente Uber foi tocado na violação de segurança, fomos informados, mas informações sobre mais de 77.000 funcionários do Uber e UberEats vazaram. Alguns dos dados vazados também estão relacionados a serviços de fornecedores terceirizados e às plataformas de gerenciamento de dispositivos móveis que o Uber usa.
A Teqtivity “não coleta ou armazena e, portanto, os dados não incluem informações pessoais confidenciais, como detalhes de contas bancárias ou números de identificação do governo (por exemplo, SSNs, números fiscais), nem coletam ou armazenam informações de consumidores, motoristas ou mensageiros”, um O porta-voz da Uber disse Strong The One.
De acordo com a Teqtivity, os dados roubados pelo intruso incluem informações do dispositivo, como números de série, marca, modelos e especificações técnicas, bem como informações do usuário, como nome e sobrenome, endereços de e-mail e locais de trabalho.
O incidente destaca a ameaça contínua de ataques de terceiros. De acordo com um Instituto Ponemon relatório este ano, metade das mais de 1.000 organizações pesquisadas disseram ter sido vítimas de uma violação de dados de terceiros nos 12 meses anteriores.
“Terceiros e fornecedores comprometidos são… um grande desafio para as organizações de segurança identificarem, pois geralmente têm acesso autorizado a sistemas internos, mesmo se órfãos ou se a empresa não for mais um fornecedor”, Sanjay Raja, vice-presidente de marketing de produtos e soluções na empresa de análise de segurança Gurucul, disse Strong The One.
Mesmo que as informações do usuário do Uber não tenham vazado, os efeitos da violação podem se espalhar para eles, de acordo com Paul Bischoff, defensor da privacidade da empresa de pesquisa de tecnologia Comparitech.
“Dado que os dados agora estão acessíveis ao público, em vez de serem vendidos a uma única parte, qualquer um pode usá-los para lançar ataques de phishing direcionados contra funcionários do Uber”, disse Bischoff. “Esses ataques podem induzir a equipe do Uber a fornecer credenciais de login, levando a outros ataques com mais consequências. Mesmo que apenas um punhado de funcionários dos 77.000 afetados fosse vítima de um golpe de phishing, isso poderia ser prejudicial para o Uber.
O Uber não é estranho a violações de dados. Em 2016, a empresa descobriu que 57 milhões de registros de clientes e motoristas foram roubados – embora só em novembro de 2017 a empresa tenha admitido o incidente. Joe Sullivan, diretor de segurança do Uber na época, foi acusado em 2020 de encobrir a violação. Ele era condenado em outubro de obstrução da justiça e ocultação de um crime da aplicação da lei. O Uber também foi multado em US$ 148 milhões em 2018.
A Teqtivity disse que entrou em contato com as autoridades policiais e contratou uma empresa forense para investigar logs e configurações de servidor, e uma equipe de segurança para testar a penetração na infraestrutura.
Vários profissionais de segurança cibernética disseram Strong The One que as organizações precisam priorizar o gerenciamento de vulnerabilidades e a correção de software de terceiros e implementar a proteção no nível do arquivo e, em seguida, validar que os fornecedores façam o mesmo. Além disso, para proteger seus dados, eles precisam saber onde eles estão o tempo todo.
Dito isso, mesmo a implementação de tais medidas não garante que um invasor não acesse os dados, de acordo com David Maynor, diretor sênior de inteligência de ameaças da empresa de treinamento de segurança Cybrary.
“Terceiros, primeiros partidos e festas universitárias sofrem do mesmo problema: penetras em festas”, disse Maynor Strong The One. “Os penetras são quase impossíveis de parar e podem arruinar a diversão de todos. Assim como na vida real, tudo o que uma vítima de penetras mal-intencionados pode fazer é limpar, avaliar sua segurança e obter um melhor treinamento para seu pessoal.” ®
.
